告警与事件

1 事件列表

进入事件列表页面，页面布局如图3-所示，与资产管理相似。管理员可以查看事件趋势和事件详情，还可进行事件的导入、导出、响应和搜索等操作。

图3-事件管理页面

1.1 事件搜索

在页面左侧的事件搜索栏中，除了选择详细类别，还可以直接输入lucene查询语句进行搜索。

说明：

关于lucene查询语句的更多介绍，详见官方网址：https://www.elastic.co/guide/en/elasticsearch/reference/current/query-dsl-query-string-query.html

1.2 事件趋势图

选择时间范围查看事件的趋势，将鼠标悬浮在图中可以显示时间和事件数（与事件列表的数据实时同步）。单击【收起图表】可以将事件趋势图隐藏起来。

1.3 查看事件详情

在事件列表中，单击事件名称可以查看事件的严重性、信息概览和事件明细（对于日志源是御界的事件，还可以查看会话还原和PCAP信息），如图4-所示。

图4-事件详情

单击【编辑标签】即可为该事件添加标签。详见事件标签。

1.4 导出事件

在事件列表中，单击【导出】即可将所选事件导出为Excel文件，导出的事件内容即当前事件列表的展示列。

说明：

导出事件之前，建议在事件列表的右上方，单击【管理】自定义事件列表的展示列。

1.5 事件标签

在事件列表上方，单击【标签】可以为所选的事件添加标签或删除已有标签，如图5-所示。

图5-编辑事件标签

1.6 事件列表快捷菜单

与告警列表的快捷菜单基本相同，详见告警列表快捷菜单。

2 告警列表

进入告警列表页面，页面布局如图6-所示，与资产管理相似。管理员可以查看攻击事件趋势图、攻击链分布图、告警详情和告警策略，还可进行告警的导出、响应、搜索、状态变更和编辑标签等操作。

图6-告警管理页面

2.1 告警搜索

与事件搜索的操作相同，详见事件搜索。

2.2 攻击事件趋势图

选择时间范围查看攻击事件的趋势，将鼠标悬浮在图中可以显示时间和各类攻击事件数（与告警列表的数据实时同步）。单击【收起图表】可以将攻击事件趋势图隐藏起来。

2.3 攻击链分布图

选择时间范围查看攻击链的分布，将鼠标悬浮在色块上可以显示时间和对应攻击类别的事件数（与告警列表的数据实时同步）。单击【收起图表】可以将攻击链分布图隐藏起来。

2.4 查看告警详情

在告警列表中，单击告警名称可以查看告警的状态、威胁等级、可信度等级、发生次数、攻击结果、基本信息、攻击流程与信息、攻击者IP信息、攻击链阶段、告警描述、处置建议、告警明细和攻击链分析等，如图7-图9-图10-所示。 查看攻击者IP和受害者IP信息时，单击IP右侧的图标…弹出快捷菜单，可以针对该IP进一步操作，如图8-所示。

图7-告警详情（信息概述）

图8-告警详情（信息概述）-攻击者IP的快捷菜单

图9-告警详情（告警明细）

图10-告警详情（攻击链分析）

单击【变更状态】即可修改该告警的状态。

2.5 告警标签

与事件标签的操作相同，详见事件标签。

2.6 告警状态变更

如图11-所示，可以批量选择将告警的状态变更为处理中、已处理或误报。

图11-告警状态变更

2.7 导出告警

在告警列表中，单击【导出】即可将所选告警导出为Excel文件，导出的告警内容即当前告警列表的展示列。

说明：

导出告警之前，建议在告警列表的右上方，单击【管理】自定义告警列表的展示列。

2.8 告警列表快捷菜单

在告警列表中，鼠标右键单击告警名称、攻击者IP、受害者IP、源IP、目的IP、关联规则ID、关联规则名、资产名称、资产组或者资产负责人，即可弹出快捷菜单，以便于一系列操作的连贯性。例如：鼠标右键单击受害者IP，弹出快捷菜单，如图12-所示。

图12-告警列表快捷菜单

说明：

1）不同的告警字段和资产状态，对应的快捷菜单项也会稍有不同。

2）只有外网IP，才能进行威胁情报查询和Virus Total查询。

3）若要针对IP进行威胁情报查询，请联系售后支持人员获取安图高级威胁追溯系统的登录权限。

3 策略管理

展示目前用于判断告警的策略，支持搜索、过滤。

图13- 策略管理页面