通过查看“告警列表”,您可以了解近180天的告警威胁的统计信息列表,列表内容包括告警事件的名称、类型、等级和发生时间等。并可通过自定义过滤条件,如告警名称、告警等级和发生时间等,快速查询到相应告警事件的统计信息。
此外,您还可以通过及时处理告警事件,标记告警事件处理状态,并支持一键导出近180天的告警事件。
约束限制
- 仅专业版支持忽略和标记告警事件,基础版不支持。
- 仅支持导出近180天的全部告警事件,暂不支持筛选导出告警事件信息。
- 按过滤场景筛选告警,最多可呈现10000条告警。
查看告警详情
步骤 1
登录管理控制台。
步骤 2
在页面左上角单击,选择“安全 > 态势感知(专业版)”,进入态势感知管理页面。
步骤 3
在左侧导航栏选择“威胁告警”,默认进入态势感知告警列表管理页面。
步骤 4
筛选“告警名称”、“告警等级”、“发生时间”和“处理状态”条件选项,在列表栏查看显示符合过滤条件的告警事件列表。
1.告警名称:告警事件所属的分类。
2.告警等级:告警事件对应的等级,包括“致命”、“高危”、“中危”、“低危”、“提示”。
3.处理状态:用户对告警事件的处理标记,可选择“未处理”、“已忽略”、“已线下处理”。
4.发生时间:告警事件发生的时间范围,可选择“今天”、“昨天”、“近3天”、“近7天”、“近30天”和“近半年”。
步骤 5
当过滤后的告警事件较多时,可以利用搜索功能快速找到指定告警事件。
在下拉框中选择“资产IP”、“来源IP”、“主机ID”,在搜索框中输入相应IP或ID,单击,即可查看到指定资产相关的告警信息。
步骤 6
查看告警事件详情。
单击列表中告警的“告警名称”,右侧滑出告警详情窗口,可查看与该告警相关的“基本信息”、“数据来源”、“攻击信息”、受影响的用户等信息,以及该告警的处理状态。
标记告警事件
当SA检测出告警事件后,您可手动标记已处理的告警事件。
步骤 1
在“告警列表”页面,标记告警事件的处理状态。
1.忽略:如果确认该告警事件不会造成危害,可标记为“已忽略”状态。
2.标记为线下处理:如果该告警事件已在线下处理,在“标记为线下处理”窗口记录“处理人”、“处理时间”和“处理结果”,可标记为“已线下处理”状态。
步骤 2
批量标记告警事件。
选择一个或多个“未处理”状态的告警,单击“忽略”或“标记为线下处理”,对不同告警事件批量执行相应的处理操作。
步骤 3
单个标记告警事件。
在告警列表对应“操作”列,单击“忽略”或“标记为线下处理”,对单个告警事件执行相应处理操作。
步骤 4
取消告警事件标记。
告警处理状态标记后,可在告警事件对应“操作”列,单击“取消忽略”或“取消标记”,恢复告警“未处理”状态,再修改告警状态。
导出告警事件
在“告警列表”页面,单击“导出全部告警”,一键导出列表中全部告警事件,并以excel文件形式保存在本地。导出完成后,即可离线查看告警事件列表。
导出的excel文件中包含“事件标识”、“受影响资源”、“严重等级”和“发现时间”等信息。
说明目前仅支持导出近180天的全部告警事件。