操作场景
通过查看告警列表,您可以了解近360天的告警威胁的统计信息列表,列表内容包括告警事件的名称、类型、等级和发生时间等。并可通过自定义过滤条件,如告警名称、告警等级和发生时间等,快速查询到相应告警事件的统计信息。
操作步骤
-
登录管理控制台。
-
单击页面左上方的,选择“安全 > 态势感知(专业版)”,进入态势感知(专业版)管理页面。
-
在左侧导航栏选择“工作空间 > 空间管理”,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
-
在左侧导航栏选择“威胁运营 > 告警管理”,进入告警管理页面。
-
在告警管理页面上方,查看告警统计情况。
- 急需处理告警 :呈现告警等级为致命或高危,且状态为非关闭的告警总数。
- 超期告警 :呈现已超过告警设置的计划关闭时间,且还未关闭的告警总数。
- 告警状态 :呈现“打开”、“阻塞”、“关闭”状态的告警总数及对应状态下告警数量。
- 告警数量 :呈现当前工作空间内的告警总数,以及各个等级对应的告警数量。
-
在告警管理列表中,查看告警详细信息,参数说明如下表所示。
页面最多可查看9999条告警信息。
参数 说明 告警名称 此告警的名称。 告警等级 告警严重等级,分为以下等级:提示、低危、中危、高危、致命。 类型 告警类型。 状态 告警状态,分为以下状态:打开、阻塞、关闭。 影响资产 受此告警影响的资产。可以将鼠标悬停在影响资产名称上,将显示资产的详细信息。 验证状态 此告警的验证状态,即事件的准确性。分为以下状态:未知、确认、误报。 责任人 此告警的主要责任人。 创建时间 此告警的创建时间。 首次发生时间 此告警首次发生时间。 最近发生时间 此告警最近一次发生的具体时间。 计划关闭时间 此告警的计划关闭时间。 标签 告警的标签信息。 操作 可对告警进行编辑、关闭、删除等操作。 -
如需查看某个告警概览信息详情,可单击告警名称,页面右侧将展示告警的概览信息。
-
在告警概览页面可以查看告警的处置建议、基本信息和关联信息(包括关联的威胁指标、告警、事件、攻击信息等)。
-
如果需要查看告警详情,可以在告警概览页面右下角单击“告警详情”,进入告警详情页面。
在详情页面除了可以查看概览页面的信息外,还可以查看告警的时间线和攻击信息。例如:告警首次发生时间、检测时间、攻击进程ID等。
-
在告警概览/详情页面可以在告警等级和状态的下拉箭头中修改告警等级、状态。
-
在告警概览/详情页面可以关联或取消关联告警、事件、情报,还可以查看受影响资产相关信息。
-