说明:
告警中心全新版本上线,本文档仅针对新版告警中心操作进行说明。如果您当前使用旧版告警中心,可以在告警中心右上角单击前往新版进行切换。
攻击告警事件按攻击类型、攻击手法、资产影响程度等维度将用户入侵防御日志智能合并为更清晰的事件条目,减少重复告警干扰,支持趋势分析、告警处置及详情查看。用户可按多条件筛选告警,执行封禁、放通、隔离等操作。
查看攻击告警趋势
攻击告警趋势提供 TOP 10观察事件 IP、受影响资产等关键指标统计,并可视化呈现事件趋势,支持单击快捷筛选,实现攻击溯源与处置闭环。通过告警信息的可视化汇总,可以方便地对防火墙监测到的攻击事件进行统计分析与操作处置,统计数据每20分钟更新一次。
1. 登录 云防火墙控制台,在左侧导航中,单击告警中心 > 攻击告警事件。
2. 在攻击告警事件页面左上角选择时间,对该范围中的安全告警事件进行分析。
3. 在攻击告警趋势中,可以查看以下模块:
模块 | 说明 | 交互功能 |
待处理事件 | 当前未被处置的中高风险观察类告警,反映当前最紧迫的安全风险。 | 单击数字筛选相关告警,建议优先处理。 |
主机失陷事件 | 标识确认被攻陷的资产,提示内网横向扩散风险。 | 单击数字筛选相关告警,建议进行隔离操作。 |
高危告警 | 综合判定对业务存在重大风险,需要关注并及时处理。 | 单击数字筛选相关告警,建议及时修复相关风险。 |
攻击告警趋势图 | 以折线图展示“观察”和“拦截”动作的告警数量随时间变化趋势。 | 支持单击切换图例显示,辅助分析攻击高峰期。 |
观察事件 IP TOP 10 | 观察事件中攻击 IP 的 TOP 统计。 | 单击 IP 支持快捷复制。 单击柱状图支持快捷筛选。 |
受影响资产 TOP 10 | 除“恶意 IP 攻击”类型之外所有攻击中受影响资产的 TOP 统计。 | 单击 ID 支持快捷复制。 单击柱状图支持快捷筛选。 |
处置告警事件
在告警列表中支持按事件等级(高/中/低危)、流量方向、攻击结果等多条件筛选攻击告警事件。用户可对近7天内的告警单条或批量执行封禁、隔离、加白、忽略等操作,并联动日志审计追溯攻击详情。
说明:
告警中心仅支持操作近 7 天内的告警事件。
对指定目标进行处置后,处置状态会修改为已处置,同时移动至对应已处置的告警事件中。
功能分类 | | |
筛选与搜索 | 快捷筛选 | 支持按处置状态、防护动作快速过滤告警。 |
| 高级搜索 | 支持 IP、实例 ID、事件等级、攻击阶段等多条件组合搜索,多个关键字用竖线“|”分隔。 |
| 自定义列表字段 | 固定显示攻击类型、访问源、访问目的,其他字段(如首次发生时间、防火墙类型)可自定义显示。 |
| 自定义列表导出 | 支持全量导出或基于检索条件导出当前选定时间范围的告警事件。 |
处置操作 | 封禁 | 将指定云外 IP 加入入侵防御-封禁列表中,拦截其所有访问请求。 |
| 隔离 | 自动下发企业安全组阻断规则,拦截指定资产的指定方向的网络访问,可能导致资产断网,需谨慎使用。 |
| 加白 | 将 IP 加入入侵防御-白名单策略列表中,不再进行入侵防御检测。 |
| 忽略 | 标记告警为“已忽略”,当天相同攻击事件不再告警,也不会在攻击告警趋势中进行统计。 |
告警事件查看 | 告警列表 | 在告警列表中,可以查看告警事件的相关消息,包括攻击类型、事件等级、攻击阶段、访问源、访问目的、流量方向、策略、首次发生时间、最近发生时间、告警次数、判断来源、防火墙类型、攻击结果、告警分类、处置状态。 |
| 查看详情 | 在告警列表中,单击操作列的详情,可查看告警事件详情。 AI 事件解读 事件总结:分析攻击手法及潜在危害。 处置建议:提供操作指导。 推论依据:说明事件等级判定逻辑。 详情功能模块 基本信息:展示攻击类型、事件等级、首次/最近发生时间等。 payload 信息:显示攻击请求信息。 访问源视角:展示攻击源 IP、资产类型、地域及关联访问目的。 访问目的视角:展示受影响资产 ID、内网 IP 及关联访问源。 |
获取更精确告警研判
当用户资产开启全流量检测与响应(NDR)后,告警中心会根据攻击上下文(如攻击结果、URI 有效性等)动态调整事件等级,使告警事件等级更客观反映真实风险,显著减少误判。同时在告警详情也可以查看更多相关信息,帮助您快速识别和处置真正的高危事件,提升安全运营效率。关于全流量检测与响应(NDR)的详细说明,请参见 全流量检测与响应(NDR)。
