文档首页/ 安全云脑 SecMaster/ 用户指南/ 威胁管理/ 事件管理/ 新增或编辑事件
更新时间:2025-08-06 GMT+08:00
查看PDF
分享

新增或编辑事件

操作场景

本章节主要介绍如何新增事件,以及如何对已有的事件进行编辑。

  • 新增事件:当用户识别到有攻击成功,或有需要被关注、处理的问题故障等,可以新增事件进行跟踪处理。
  • 编辑事件:当事件的状态、等级、责任人等信息发生变化时,可通过编辑事件修改信息。

新增事件

  1. 登录安全云脑 SecMaster控制台
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  4. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图1 进入目标工作空间管理页面

  5. 在左侧导航栏选择威胁管理 > 事件管理,进入事件管理页面。

    图2 进入事件管理页面

  6. 在事件管理页面单击“新增”,并在右侧弹出的新增事件管理页面中配置参数,参数说明如表1所示。

    表1 新增事件参数说明

    参数名称

    参数说明

    基础信息

    事件名称

    自定义事件名称,命名规则如下:

    • 可输入中文字符、英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(-_ ())。
    • 长度不能超过2550个字符。

    事件类型

    下拉选择事件类型。

    (可选)业务ID

    填写事件对应的业务ID。

    事件等级

    选择事件严重等级。

    可选的等级有:致命、高危、中危、低危、提示。

    状态

    选择事件状态。

    可选事件状态有:打开、阻塞、关闭。

    • 打开:确认事件未处理或故障仍然存在,可选择打开。
    • 阻塞:确认事件因为特定原因无法进一步处理或解决,可选择阻塞。
    • 关闭:确认事件已处理完成,问题已解决或故障已消失,可选择关闭事件。

    (可选)责任人

    选择事件的主要责任人。

    数据源产品名称

    选择数据源产品的名称。

    数据源类型

    选择数据源所属类型。例如,来源为云服务,则选择云服务。

    时间线

    首次发生时间

    配置事件首次发生时间。

    (可选)最近发生时间

    配置事件最近一次发生的具体时间。

    (可选)计划关闭时间

    选择事件计划关闭时间。

    其他

    (可选)验证状态

    选择事件的验证状态,标识事件的准确性。

    • 未知:无法确认事件是否带来实质的攻击。
    • 攻击成功:确认该事件已经攻击成功。
    • 攻击失败:确认该事件已经攻击失败。

    (可选)阶段

    选择您的事件阶段。

    • 准备:准备资源处理事件。
    • 检测与分析:检测与分析事件发生原因。
    • 控制、清除、恢复:进行事件问题处理。
    • 告警后活动:事件处理完成后的后续活动。

    (可选)调试数据

    选择是否开启模拟调试功能。

    (可选)标签

    填写事件的标签。如“矿池”,“外联”等,多个标签用逗号隔开。

    描述

    事件描述信息,输入规则如下:

    • 可输入中文字符、英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(-_ ())。
    • 长度不能超过10240个字符。

  7. 单击“确认”,完成事件创建。新增事件配置完成后,在左侧导航栏选择威胁管理 > 事件管理,进入事件管理页面,在事件管理页面可查看已新增的事件信息,详细操作指导和事件参数解释请参见查看事件信息

编辑事件

  1. 登录安全云脑 SecMaster控制台
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  4. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图3 进入目标工作空间管理页面

  5. 在左侧导航栏选择威胁管理 > 事件管理,进入事件管理页面。

    图4 进入事件管理页面

  6. 在事件管理列表中,单击目标事件所在行“操作”列的“编辑”,右侧弹出编辑事件页面。
  7. 在弹出的“编辑”页面中,编辑事件参数。

    表2 编辑事件参数说明

    参数名称

    参数说明

    基础信息

    事件名称

    自定义事件名称,命名规则如下:

    • 可输入中文字符、英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(-_ ())。
    • 长度不能超过2550个字符。

    事件类型

    选择事件类型。

    (可选)业务ID

    填写事件对应的业务ID。

    事件等级

    选择严重等级。可选的等级有:致命、高危、中危、低危、提示。

    状态

    选择事件状态。

    可选事件状态有:打开、阻塞、关闭。

    • 打开:确认事件未处理或故障仍然存在,可选择打开。
    • 阻塞:确认事件因为特定原因无法进一步处理或解决,可选择阻塞。
    • 关闭:确认事件已处理完成,问题已解决或故障已消失,可选择关闭事件。

    (可选)责任人

    选择事件的主要责任人。

    数据源产品名称

    选择数据源产品的名称,不支持修改

    数据源类型

    选择数据源所属类型,不支持修改

    时间线

    首次发生时间

    该事件首次发生时间。

    (可选)最近发生时间

    该事件最近一次发生的具体时间。

    (可选)计划关闭时间

    选择事件计划关闭时间。

    其他

    (可选)验证状态

    选择事件的验证状态,标识事件的准确性。

    • 未知:无法确认事件是否带来实质的攻击。
    • 攻击成功:确认该事件已经攻击成功。
    • 攻击失败:确认该事件已经攻击失败。

    (可选)阶段

    选择您的事件阶段。

    • 准备:准备资源处理事件。
    • 检测与分析:检测与分析事件发生原因。
    • 控制、清除、恢复:进行事件问题处理。
    • 告警后活动:事件处理完成后的后续活动。

    (可选)调试数据

    选择是否开启模拟调试功能,不支持修改

    (可选)标签

    填写事件的标签。如“矿池”,“外联”等,多个标签用逗号隔开。

    描述

    事件描述信息,输入规则如下:

    • 可输入中文字符、英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(-_ ())。
    • 长度不能超过10240个字符。

  8. 单击“确认”,完成事件编辑。编辑事件配置完成后,在左侧导航栏选择威胁管理 > 事件管理,进入事件管理页面,在事件管理页面可查看事件信息,详细操作指导和事件参数解释请参见查看事件信息

相关操作

  • 查看事件信息:在安全云脑的事件管理页面,可以通过查看事件列表了解近360天的事件的统计信息列表。列表内容包括事件的名称、类型、等级和发生时间等。并可通过自定义过滤条件,如事件名称、事件等级和发生时间等,快速查询到相应事件的统计信息。
  • 导入或导出事件:您可以将事件详情导出到本地,便于跨部门协作处理事件,提高内部信息共享效率。最多支持导出9999条事件记录。
  • 关闭或删除事件:介绍如何关闭事件,删除事件信息。
  • 告警转事件或关联事件:当收到告警信息且经过分析后,如果发现有攻击成功或有其他较为严重影响的,则需要进行单独处理,可以将它转为事件或关联事件。告警与事件的区别和联系请参见告警和事件关系说明
父主题: 事件管理

相关文档