新增告警
登录管理控制台。
单击页面左上方的
,选择“安全 > 态势感知(专业版)”,进入态势感知(专业版)管理页面。在左侧导航栏选择“工作空间 > 空间管理”,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
在左侧导航栏选择“威胁管理 > 告警管理”,进入告警管理页面。
在告警管理页面单击“新增”,并在右侧弹出的新增告警管理页面中配置参数,参数配置说明如下表所示。
参数名称 参数说明 基础信息 告警名称 自定义告警名称,命名规则如下:
- 可输入中文字符、英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(-_ ())。
- 长度不能超过2550个字符。
告警类型 选择告警类型。 告警等级 选择告警严重等级,可选择以下等级:提示、低危、中危、高危、致命。 状态 选择告警状态,告警状态用于标识告警跟踪的状态。可选择以下状态:打开、阻塞、关闭。
- 打开:未处理且需要继续跟踪关注的告警,建议配置为“打开”状态。
- 阻塞:跟踪的告警因某些原因暂时无法处置需要挂起的建议配置为“阻塞”状态。
- 关闭:已经处置完毕且不需要继续跟踪的告警建议配置为“关闭”状态。
(可选)责任人 选择告警跟踪或处置的主要责任人。 数据源产品名称 选择数据源产品的名称。 数据源类型 选择数据源所属类型,可选择以下类型:云服务、第三方产品、租户私有产品。
- 云服务:接入态势感知(专业版)的云服务日志的告警。
- 第三方产品:第三方的产品产生的告警数据。
- 租户私有产品:租户自己的私有产品产生的告警数据。
时间线 首次发生时间 该条告警首次发生时间。 (可选)最近发生时间 该条告警最近一次发生的具体时间。 (可选)计划关闭时间 选择告警计划关闭时间。 其他 (可选)验证状态 选择告警的确认状态,标识告警攻击的状态,确认是否造成实际的负面影响。可选择以下状态:未知、攻击成功、攻击失败。
- 未知:无法确认告警是否带来实质的攻击。
- 攻击成功:确认该告警已经攻击成功。
- 攻击失败:确认该告警已经攻击失败。
- 可疑:该告警存在可疑的攻击行为,如攻击尝试。
- 白名单:确认无攻击行为的主机告警。
- 非攻击信息:非恶意攻击,如系统脆弱性告警,风险账号、弱口令等。
(可选)阶段 选择您的告警阶段。
- 准备:准备资源处理告警。
- 检测与分析:检测与分析告警发生原因。
- 控制、清除、恢复:进行告警问题处理。
- 告警后活动:告警处理完成后的后续活动。
(可选)调试数据 选择是否开启模拟调试功能。 (可选)标签 填写告警的标签。 描述 填写告警描述信息,填写规则如下:
- 可输入中文字符、英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(-_ ())。
- 长度不能超过10240个字符。
单击“确认”。新增告警配置完成后,在左侧导航栏选择“威胁管理> 告警管理”,进入告警管理页面查看告警信息。
编辑告警
登录管理控制台。
单击页面左上方的
,选择“安全 > 态势感知(专业版)”,进入态势感知(专业版)管理页面。在左侧导航栏选择“工作空间 > 空间管理”,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
在左侧导航栏选择“威胁管理 > 告警管理”,进入告警管理页面。
在告警管理列表中,单击目标告警所在行“操作”列的“编辑”,右侧弹出编辑告警页面。
在弹出的编辑告警页面中,编辑告警参数,参数说明如下表所示。
参数名称 参数说明 基础信息 告警名称 自定义告警名称,命名规则如下:
- 可输入中文字符、英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(-_ ())。
- 长度不能超过2550个字符。
告警类型 选择告警类型。 告警等级 选择告警严重等级,可选择以下等级:提示、低危、中危、高危、致命。 状态 选择告警状态,告警状态用于标识告警跟踪的状态。可选择以下状态:打开、阻塞、关闭。
- 打开:未处理且需要继续跟踪关注的告警,建议配置为“打开”状态。
- 阻塞:跟踪的告警因某些原因暂时无法处置需要挂起的建议配置为“阻塞”状态。
- 关闭:已经处置完毕且不需要继续跟踪的告警建议配置为“关闭”状态。
(可选)责任人 选择告警跟踪或处置的主要责任人。 数据源产品名称 选择数据源产品的名称,不支持修改。 数据源类型 选择数据源所属类型,不支持修改。 时间线 首次发生时间 该条告警首次发生时间。 最近发生时间 该条告警最近一次发生的具体时间。 计划关闭时间 选择告警计划关闭时间。 处置建议 推荐处理方法 告警的推荐处置方法描述。 其他 标签 填写告警的标签。 调试数据 选择是否开启模拟调试功能,不支持修改。 (可选)验证状态 选择告警的确认状态,标识告警攻击的状态,确认是否造成实际的负面影响。可选择以下状态:未知、攻击成功、攻击失败。
- 未知:无法确认告警是否带来实质的攻击。
- 攻击成功:确认该告警已经攻击成功。
- 攻击失败:确认该告警已经攻击失败。
- 可疑:该告警存在可疑的攻击行为,如攻击尝试。
- 白名单:确认无攻击行为的主机告警。
- 非攻击信息:非恶意攻击,如系统脆弱性告警,风险账号、弱口令等。
阶段 选择您的告警阶段。
- 准备:准备资源处理告警。
- 检测与分析:检测与分析告警发生原因。
- 控制、清除、恢复:进行告警问题处理。
- 告警后活动:告警处理完成后的后续活动。
描述 填写告警描述信息,填写规则如下:
- 可输入中文字符、英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(-_ ())。
- 长度不能超过10240个字符。
单击“确认”,完成告警编辑。配置完成后,在左侧导航栏选择“威胁管理> 告警管理”,进入告警管理页面查看告警信息。
