告警事件查看与处理

PDF

聚焦模式

字号

最后更新时间： 2025-12-19 16:50:16

说明：
告警中心全新版本上线，本文档仅针对旧版告警中心操作进行说明。如果您当前使用旧版告警中心，可以在告警中心右上角单击前往新版进行切换。新版告警中心相关内容请参见 攻击告警事件查看与处理。
攻击告警汇总可视化
通过告警信息的可视化汇总，可以方便地对防火墙监测到的攻击事件进行统计分析与操作处置，统计数据每20分钟更新一次。
1. 登录 云防火墙控制台，在左侧导航中，单击告警中心 > 攻击告警汇总。
2. 在攻击告警汇总页面，根据①个人资产、②时间对已有的安全告警事件进行可视化分析。
页面左侧为筛选后的近期安全事件的变化趋势曲线，展示了不同时间的告警次数。以及已失陷主机、待处理事件、网络扫描探测和漏洞利用攻击次数的统计情况。
 页面右侧展示了攻击告警 IP 前十排行，为提前规避风险 IP 攻击提供参考。
﻿
快速定位告警事件
提供多种筛选功能，支持对已有的攻击告警事件进行快速筛选定位。
在 攻击告警汇总页面 的事件列表中，可以根据①告警事件类型、②条件筛选、③自定义表头对已有的攻击告警事件进行定位。
﻿
告警事件类型：单击图中①处按钮，查看不同分类下的告警信息详情。
说明：
当在  访问控制、入侵防御、 安全基线 模块配置好云防火墙所需的相关安全策略后，才会显示对应的安全事件类型。
条件筛选：单击图中②处按钮对攻击告警事件进行条件筛选。
支持查看未处置、已封禁、已放通、已忽略的告警信息。
支持根据告警危险等级筛选。
支持根据安全事件类型、协议、判断来源筛选。
支持直接单击图标对访问源 IP 或访问目的 IP 进行筛选。
支持对发生时间、告警次数进行排序查看。
支持关键字搜索筛选。包括访问源、源端口、访问目的、目的端口、危险等级、协议、判断来源。
自定义表头：单击图中③处的
﻿
图标可以定义表头字段，最多勾选10个。
﻿
查看定位事件详情
定位到具体的攻击告警事件后，单击事件左侧
﻿
可以查看事件的详细信息。
﻿
说明：
前往主机安全深度检测功能需要购买 主机安全。
威胁画像：单击点击查看，查看该访问源的威胁画像。包括 IP 地理位置、是否属于威胁情报 IP、网络信息、反查域名信息等。
资产详情：单击点击查看，跳转至资产中心，查看被攻击资产详情。
快速处置告警信息
处置单条告警信息
在 攻击告警汇总页面，支持对单条告警信息进行处置。在事件操作栏，对访问源进行封禁、放通、忽略、隔离操作。
说明：
隔离操作仅针对出站方向流量告警事件，隔离失陷主机，防止影响进一步扩大。
﻿
封禁：针对危险等级较高或告警次数较多的安全事件，可以单击封禁，将该 IP 地址添加至  入侵防御 模块的封禁列表（黑名单），并选择封禁时间，添加备注，云防火墙会在时间范围内，自动拦截该 IP 地址对用户全部资产的访问。
﻿
注意：
当告警 IP 地址可能来自情报白名单时，会出现提示信息，请勿手动拦截/封禁，开启入侵防御拦截模式，云防火墙会自动拦截来源于这个地址的攻击流量，并放行正常流量。
放通：针对告警中存在重复或可能的误报，可以单击放通，将该 IP 地址加入 管理防御操作  模块的放通列表（白名单），并选择放通时间与放通原因，填写备注，若是确定为误报，可以对误报内容进行反馈，云防火墙会在一定时间范围内，将该 IP 地址绕过入侵防御模块检测，从而放行该 IP 地址的流量。
﻿
忽略：如果不想处理告警信息，可以单击忽略，该日志不会消失，但是在处置状态已忽略列表中可以查看记录。
﻿
隔离：选择阻断流量方向与生效时间，单击隔离，资产实例隔离会自动下发企业安全组阻断规则，在时间范围内拦截选中资产的指定方向的网络访问。
说明：
隔离资产实例后，支持使用运维白名单对资产进行访问，可选手动填写 IP 或使用零信任防护两种方式。
仅支持手动填写10个 IP。
零信任防护支持选择微信或企业微信用户允许进行资产访问，如何接入微信或企业微信用户，详情请参见 企业安全组。
批量处置告警信息
在 攻击告警汇总页面 ，支持对多条告警信息进行处置。可以选中多条告警信息，单击一键拦截、放通、隔离或忽略。
﻿
注意：
隔离操作仅针对出站方向流量告警事件，隔离失陷主机，防止影响进一步扩大。主要为主机失陷类型告警事件，有隔离操作。
用户需要修改操作，可在入侵防御 > 拦截列表、放通列表或者隔离列表中删除该 IP，恢复操作。
超出7天告警将会失效，无法处理。