文档首页/ 安全云脑 SecMaster/ 用户指南/ 威胁管理/ 事件管理/ 查看事件信息
更新时间:2025-06-24 GMT+08:00
查看PDF
分享

查看事件信息

操作场景

事件是一个广泛的概念,可以包括告警,但不限于此,它可以是系统正常操作的一部分,也可以是异常或错误。在运维和安全领域,事件通常指的是已经发生并需要被关注、调查和处理的问题或故障。事件可能由一条或多条告警触发,也可能由其他因素(如用户操作、系统日志等)引发。

事件的目的是为了记录、分析、报告或审计,通常用于记录和报告系统的历史行为,以便于分析和审计。当前事件的主要生成方式如下:

  • 新增事件:用户在事件管理页面新增事件。当用户识别到有攻击成功,或有需要被关注、处理的问题故障等,可以新增事件进行跟踪处理,需要逐条事件新增,若需要批量新增事件建议通过导入事件方式实现。
  • 导入事件:用户在事件管理页面导入事件列表。支持通过列表的方式批量创建事件。
  • 告警转事件或关联事件:通过告警转事件或关联事件方式生成。当收到告警信息且经过分析后,如果发现有攻击成功或有其他较为严重影响的,则需要进行单独处理,可以将它转为事件或关联事件。

在安全云脑的事件管理页面,可以通过查看事件列表了解近360天的事件的统计信息列表。列表内容包括事件的名称、类型、等级和发生时间等。并可通过自定义过滤条件,如事件名称、事件等级和发生时间等,快速查询到相应事件的统计信息。

本章节主要介绍如何查看事件信息。

告警和事件关系说明

本部分介绍告警和事件的含义、区别。

  • 告警和事件的含义与区别
    表1 告警和事件的含义与区别

    类别

    描述

    定义
    • 告警:

      告警是运维中的一种异常信号的通知,通常是由监控系统或安全设备在检测到系统或网络中的异常情况时自动生成的。例如,当服务器的CPU使用率超过90%时,系统可能会发出告警。这些异常情况可能包括系统故障、安全威胁或性能瓶颈等。

      告警通常有明确的指示性,能够明确指出异常发生的位置、类型和影响。同时,告警可以按照严重程度来进行分类,如紧急、重要、一般等,以便运维人员根据告警的严重程度来决定哪些需要优先处理。

      告警的目的是及时通知相关人员,以便他们能够迅速响应并采取措施解决问题。

    • 事件:

      事件是一个更广泛的概念,可以包括告警,但不限于此。事件可以是系统正常操作的一部分,也可以是异常或错误。在运维和安全领域,事件通常指的是已经发生并需要被关注、调查和处理的问题或故障。事件可能由一条或多条告警触发,也可能由其他因素(如用户操作、系统日志等)引发。

      事件的目的更广泛,可以是为了记录、分析、报告或审计,通常用于记录和报告系统的历史行为,以便于分析和审计。

    处理流程
    • 告警:

      告警的处理流程通常包括接收、确认、分析、响应和关闭等步骤。当监控系统发出告警时,运维人员首先需要确认告警的真实性,然后分析告警的原因和影响范围,最后采取相应的措施来解决问题,并关闭告警。

    • 事件:

      事件的处理流程则更加复杂和全面。除了包含告警处理流程中的各个环节外,事件处理还需要进行事件调查、影响评估、风险分析、制定应急计划、执行应急响应、事后总结等步骤。事件处理的目标是彻底解决问题,防止类似事件再次发生,并减少事件对业务的影响。

    重要性与紧急程度
    • 告警:

      告警一般需要立即评估和响应。

      每条告警的紧急程度和重要性各不相同,取决于告警的类型、级别和影响的范围。一些告警可能只是简单的提醒或预警,而另一些告警则可能表示系统已经遭受严重攻击或面临重大故障风险。

    • 事件:

      事件可能需要记录、分析或在某些情况下采取行动,但不一定需要立即响应。

      事件通常比告警具有更高的重要性和紧急程度。因为事件已经发生并产生了实际的影响,需要立即采取措施来应对和解决问题。如果事件得不到及时处理,可能会给组织带来重大的经济损失或声誉损害。

查看事件信息

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  4. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图1 进入目标工作空间管理页面

  5. 在左侧导航栏选择威胁管理 > 事件管理,进入事件管理页面。

    图2 进入事件管理页面

  6. 在事件管理页面查看事件信息。

    图3 查看事件信息
    表2 查看事件信息

    参数名称

    参数说明

    未处理事件

    当前工作空间在筛选的时间范围内未处理事件的数量及其所属等级分布情况。

    自动处理事件

    当前工作空间在筛选的时间范围内通过剧本自动处理的事件数量。

    手动处理事件

    当前工作空间在筛选的时间范围内手动处理的事件数量。

    事件数量

    当前工作空间在筛选的时间范围内的事件总数量。

    事件列表

    展示事件的详细信息。

    在事件列表中下方可以查看事件总条数。其中,使用翻页查看时最多可查看10000条事件信息,如果需要查看超过10000条以外数据,请优化过滤条件筛选数据。

    事件列表中,可以查看事件的名称、等级、来源、状态等信息。

    如需查看某个事件概览,可单击事件名称,页面右侧将展示事件的概览信息。

    • 在事件概览页可查看事件等级、状态、责任人信息。在事件等级和状态的下拉箭头中修改事件等级、状态。
    • 在事件概览页面可查看事件的处置建议、基本信息和关联信息(包括关联的威胁指标、告警、事件、攻击信息等)。
    • 如果需要查看事件详情,可以在事件概览页面右下角单击“事件详情”,进入事件详情页面。

      在详情页面除了可以查看概览页面的信息外,还可以查看事件的时间线和攻击信息。例如:事件首次发生时间、检测时间、攻击进程ID等。

    • 在事件概览/详情页面可以关联或取消关联告警、事件、情报,还可以查看受影响资产相关信息。

相关操作

父主题: 事件管理

相关文档