文档首页/ 安全云脑 SecMaster/ 用户指南/ 威胁管理/ 告警管理/ 新增或编辑告警
更新时间:2025-04-24 GMT+08:00
查看PDF
分享

新增或编辑告警

操作场景

本章节主要介绍如何新增告警,以及如何对已有的告警进行编辑。

新增告警:安全云脑支持管理云上资产和云外资产,资产管理更多信息请参见资产管理概述。其中,云上资产的告警可以通过接入日志数据自动同步到安全云脑,云外资产的告警数据需要用户在安全云脑通过新增告警导入告警将告警数据接入安全云脑。

编辑告警:当告警的状态和基础信息发生变化需要修改时,可通过编辑告警修改告警参数。

新增告警

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  4. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图1 进入目标工作空间管理页面

  5. 在左侧导航栏选择威胁管理 > 告警管理,进入告警管理页面。

    图2 告警管理页面

  6. 在告警管理页面单击“新增”,并在右侧弹出的新增告警管理页面中配置参数,参数配置说明如下表所示。

    表1 告警参数说明

    参数名称

    参数说明

    基础信息

    告警名称

    自定义告警名称,命名规则如下:

    • 可输入中文字符、英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(-_ ())。
    • 长度不能超过2550个字符。

    告警类型

    选择告警类型。

    告警等级

    选择告警严重等级,可选择以下等级:提示、低危、中危、高危、致命。告警等级的说明请参见告警的风险等级分类

    状态

    选择告警状态,告警状态用于标识告警跟踪的状态。可选择以下状态:打开、阻塞、关闭。

    • 打开:未处理且需要继续跟踪关注的告警,建议配置为“打开”状态。
    • 阻塞:跟踪的告警因某些原因暂时无法处置需要挂起的建议配置为“阻塞”状态。
    • 关闭:已经处置完毕且不需要继续跟踪的告警建议配置为“关闭”状态。

    (可选)责任人

    选择告警跟踪或处置的主要责任人。

    数据源产品名称

    选择数据源产品的名称。

    数据源类型

    选择数据源所属类型,可选择以下类型:云服务、第三方产品、租户私有产品。

    • 云服务:接入安全云脑的云服务日志的告警,支持接入的云服务日志请参见支持接入的云服务日志
    • 第三方产品:第三方的产品产生的告警数据。
    • 租户私有产品:租户自己的私有产品产生的告警数据。

    时间线

    首次发生时间

    该条告警首次发生时间。

    (可选)最近发生时间

    该条告警最近一次发生的具体时间。

    (可选)计划关闭时间

    选择告警计划关闭时间。

    其他

    (可选)验证状态

    选择告警的确认状态,标识告警攻击的状态,确认是否造成实际的负面影响。可选择以下状态:未知、攻击成功、攻击失败。

    • 未知:无法确认告警是否带来实质的攻击。
    • 攻击成功:确认该告警已经攻击成功。
    • 攻击失败:确认该告警已经攻击失败。
    • 可疑:该告警存在可疑的攻击行为,如攻击尝试。
    • 白名单:确认无攻击行为的主机告警。
    • 非攻击信息:非恶意攻击,如系统脆弱性告警,风险账号、弱口令等。

    (可选)阶段

    选择您的告警阶段。

    • 准备:准备资源处理告警。
    • 检测与分析:检测与分析告警发生原因。
    • 控制、清除、恢复:进行告警问题处理。
    • 告警后活动:告警处理完成后的后续活动。

    (可选)调试数据

    选择是否开启模拟调试功能。

    (可选)标签

    填写告警的标签。

    描述

    填写告警描述信息,填写规则如下:

    • 可输入中文字符、英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(-_ ())。
    • 长度不能超过10240个字符。

  7. 单击“确认”。新增告警配置完成后,在左侧导航栏选择威胁管理 > 告警管理,进入告警管理页面查看告警信息。

编辑告警

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  4. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图3 进入目标工作空间管理页面

  5. 在左侧导航栏选择威胁管理 > 告警管理,进入告警管理页面。

    图4 告警管理页面

  6. 在告警管理列表中,单击目标告警所在行“操作”列的“编辑”,右侧弹出编辑告警页面。
  7. 在弹出的编辑告警页面中,编辑告警参数,参数说明如下表所示。

    表2 告警参数说明

    参数名称

    参数说明

    基础信息

    告警名称

    自定义告警名称,命名规则如下:

    • 可输入中文字符、英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(-_ ())。
    • 长度不能超过2550个字符。

    告警类型

    选择告警类型。

    告警等级

    选择告警严重等级,可选择以下等级:提示、低危、中危、高危、致命。

    告警等级的说明请参见告警的风险等级分类

    状态

    选择告警状态,告警状态用于标识告警跟踪的状态。可选择以下状态:打开、阻塞、关闭。

    • 打开:未处理且需要继续跟踪关注的告警,建议配置为“打开”状态。
    • 阻塞:跟踪的告警因某些原因暂时无法处置需要挂起的建议配置为“阻塞”状态。
    • 关闭:已经处置完毕且不需要继续跟踪的告警建议配置为“关闭”状态。

    (可选)责任人

    选择告警跟踪或处置的主要责任人。

    数据源产品名称

    选择数据源产品的名称,不支持修改

    数据源类型

    选择数据源所属类型,不支持修改

    时间线

    首次发生时间

    该条告警首次发生时间。

    最近发生时间

    该条告警最近一次发生的具体时间。

    计划关闭时间

    选择告警计划关闭时间。

    处置建议

    推荐处理方法

    告警的推荐处置方法描述。

    其他

    标签

    填写告警的标签。

    调试数据

    选择是否开启模拟调试功能,不支持修改

    (可选)验证状态

    选择告警的确认状态,标识告警攻击的状态,确认是否造成实际的负面影响。可选择以下状态:未知、攻击成功、攻击失败。

    • 未知:无法确认告警是否带来实质的攻击。
    • 攻击成功:确认该告警已经攻击成功。
    • 攻击失败:确认该告警已经攻击失败。
    • 可疑:该告警存在可疑的攻击行为,如攻击尝试。
    • 白名单:确认无攻击行为的主机告警。
    • 非攻击信息:非恶意攻击,如系统脆弱性告警,风险账号、弱口令等。

    阶段

    选择您的告警阶段。

    • 准备:准备资源处理告警。
    • 检测与分析:检测与分析告警发生原因。
    • 控制、清除、恢复:进行告警问题处理。
    • 告警后活动:告警处理完成后的后续活动。

    描述

    填写告警描述信息,填写规则如下:

    • 可输入中文字符、英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(-_ ())。
    • 长度不能超过10240个字符。

  8. 单击“确认”。配置完成后,在左侧导航栏选择威胁管理 > 告警管理,进入告警管理页面查看告警信息。
父主题: 告警管理

相关文档