操作场景
通过查看事件列表,您可以了解近360天的事件的统计信息列表,列表内容包括事件的名称、类型、等级和发生时间等。并可通过自定义过滤条件,如事件名称、事件等级和发生时间等,快速查询到相应事件的统计信息。
操作步骤
-
登录管理控制台。
-
单击页面左上方的
,选择“安全 > 态势感知(专业版)”,进入态势感知(专业版)管理页面。 -
在左侧导航栏选择“工作空间 > 空间管理”,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
-
在左侧导航栏选择“威胁运营 > 事件管理”,进入事件管理页面。
-
在事件管理页面上方,查看事件统计情况。
- 急需处理事件 :呈现事件等级为致命或高危,且状态为非关闭的事件总数。
- 超期事件 :呈现已超过事件设置的计划关闭时间,且还未关闭的事件总数。
- 事件状态 :呈现“打开”、“阻塞”、“关闭”状态的事件总数及对应状态下事件数量。
- 事件数量 :当前工作空间内的事件总数,以及各个等级对应的事件数量。
-
在事件列表中,查看事件详细信息。
页面最多可查看9999条事件信息。
参数 说明 事件名称 事件名称。 事件ID 事件对应的ID。 事件等级 事件严重等级,分为以下等级:提示、低危、中危、高危、致命。 类型 事件类型。 状态 事件状态,分为以下状态:打开、阻塞、关闭。 影响资产 受此事件影响的资产。 验证状态 此事件的验证状态,即事件的准确性。分为以下状态:未知、确认、误报。 责任人 此事件的主要责任人。 创建时间 此事件的创建时间。 首次发生时间 此事件首次发生时间。 最近发生时间 此事件最近一次发生的具体时间。 计划关闭时间 此事件的计划关闭时间。 描述 事件的描述信息。 数据源产品名称 事件来源产品的名称。 标签 事件的标签信息 操作 可对事件进行编辑、关闭等操作。 -
如需查看某个事件详概览,可单击告警名称,页面右侧将展示事件的概览信息。
-
在事件概览页面可以查看事件的处置建议、基本信息和关联信息(包括关联的威胁指标、告警、事件、攻击信息等)。
-
如果需要查看事件详情,可以在事件概览页面右下角单击“事件详情”,进入事件详情页面。
在详情页面除了可以查看概览页面的信息外,还可以查看事件的时间线和攻击信息。例如:事件首次发生时间、检测时间、攻击进程ID等。
-
在事件概览/详情页面可以在事件等级和状态的下拉箭头中修改事件等级、状态。
-
在事件概览/详情页面可以关联或取消关联告警、事件、情报,还可以查看受影响资产相关信息。
-
