更新时间:2024-11-19 GMT+08:00
分享

查看事件信息

操作场景

事件是一个广泛的概念,可以包括告警,但不限于此,它可以是系统正常操作的一部分,也可以是异常或错误。在运维和安全领域,事件通常指的是已经发生并需要被关注、调查和处理的问题或故障。事件可能由一条或多条告警触发,也可能由其他因素(如用户操作、系统日志等)引发。

事件的目的是为了记录、分析、报告或审计,通常用于记录和报告系统的历史行为,以便于分析和审计。

在安全云脑的事件管理页面,可以通过查看事件列表了解近360天的事件的统计信息列表,列表内容包括事件的名称、类型、等级和发生时间等。并可通过自定义过滤条件,如事件名称、事件等级和发生时间等,快速查询到相应事件的统计信息。

本章节主要介绍如何查看事件信息。

操作步骤

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  4. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图1 进入目标工作空间管理页面

  5. 在左侧导航栏选择威胁运营 > 事件管理,进入事件管理页面。

    图2 事件管理页面

  6. 在事件管理页面查看事件信息。

    图3 查看事件信息
    表1 查看事件信息

    参数名称

    参数说明

    未处理事件

    当前工作空间在设定的时间范围内未处理事件的数量及其所属等级分布情况。

    自动处理事件

    当前工作空间在设定的时间范围内通过剧本自动处理的事件数量。

    手动处理事件

    当前工作空间在设定的时间范围内手动处理的事件数量。

    事件数量

    当前工作空间在设定的时间范围内的事件总数量。

    事件列表

    展示事件的详细信息。

    在事件列表中下方可以查看事件总条数。其中,使用翻页查看时最多可查看10000条事件信息,如果需要查看超过10000条以外数据,请优化过滤条件筛选数据。

    事件列表中,可以查看事件的名称、等级、来源、状态等信息。如需查看某个事件概览,可单击事件名称,页面右侧将展示事件的概览信息。

    • 在事件概览页面可以查看事件的处置建议、基本信息和关联信息(包括关联的威胁指标、告警、事件、攻击信息等)。
    • 如果需要查看事件详情,可以在事件概览页面右下角单击“事件详情”,进入事件详情页面。

      在详情页面除了可以查看概览页面的信息外,还可以查看事件的时间线和攻击信息。例如:事件首次发生时间、检测时间、攻击进程ID等。

    • 在事件概览/详情页面可以在事件等级和状态的下拉箭头中修改事件等级、状态。
    • 在事件概览/详情页面可以关联或取消关联告警、事件、情报,还可以查看受影响资产相关信息。

相关文档