威胁告警
最近更新时间:2025年04月29日 09:59:35
统计和筛选数据
1. 登录iOA 零信任管理平台控制台,在左侧导航栏,选择终端安全防护中心 > 威胁告警。
2. 在告警展示统计页面,支持根据告警维度以及 ATT&CK 技术战术维度统计相应的告警信息及其发生趋势图,同时会根据钓鱼、勒索、横移、病毒、终端欺骗进行场景化数据统计。
①时间筛选,近7天、10天、30天自定义。
②统计筛选,在统计页面,可以直接单击钓鱼告警、勒索告警、横移告警的统计数据对列表内容进行筛选。
③支持按告警名称、终端名称、企业账户、告警 ID、攻击详情快速搜索。
④条件筛选,展开左侧导航可按照告警名称、文件名、源 IP、目标 IP、风险等级、攻击场景等条件进行筛选。
⑤表内筛选,在列表内部,用户可在表头直接对目标内容进行检索。
⑥威胁事件命名逻辑,按照威胁情报 > 恶意文件 > 单一告警规则 > 战术阶段优先级来展示告警名称,突出核心要素,便于直接获取告警关键信息。
导出数据
1. 在威胁告警页面,勾选告警列表目标数据,单击导出。
2. 在导出页面,支持自定义表头,可选择目标导出的字段以及导出时间范围,导出格式默认为 CSV,单击确定。
![]()
自定义列表管理
1. 在威胁告警列表中,单击右上角![]()
2. 展示当前表头所有字段,可根据需求自定义目标字段,确认后列表会刷新展示目标内容。
按告警查看
1. 在按告警查看页面,单击![]()
2. 单击告警名称/ID,将展示告警详情。这些详情信息包括告警基础信息、命中规则、攻击详情、证据列表以及相应的影响资产。
3. 在告警详情的证据列表中,单击证据名称。
4. 展示该告警证据实体信息,包含进程、文件、网络等实体,其中每个除展示证据基本信息外,也会展示该证据关联告警信息以及影响资产。
5. 新增文件、进程类威胁情报信息,网络实体新增威胁情报家族标签,并支持已分析过的节点在溯源图突出展示。
![]()
6. 攻击溯源:单击攻击溯源。
7. 可以查看引发该告警进程/文件创建溯源图。
8. 告警处置。
单击忽略,可以直接忽略该告警。
单击处置,可以处置该告警相关有威胁的实体,其中鉴定为安全的实体不可处置,鉴定为恶意和未知的实体可以下发阻断网络连接等任务。同时支持查看历史任务。
说明:
威胁鉴定为安全的证据暂不支持处置。
告警实体联动云沙箱
1. 登录iOA 零信任管理平台控制台,在左侧导航栏,选择终端安全防护中心 > 威胁告警。
2. 在告警展示统计页面,单击告警名称/ID。
3. 针对文件、进程、网络类的实体信息中支持展示沙箱分析模块,单击证据名称。
![]()
4. 对于未进入过沙箱分析的实体,需要用户手动单击获取样本并分析。
![]()
5. 对于初次分析的样本会存在分析时间较长的现象,用户可稍后查看。
6. 对于已经进入过沙箱分析的实体,会直接展示包含检测结果、IOC 属性、处置建议等基础信息,如需获取更多信息,单击查看分析报告了解详情。
![]()
7. 由于病毒库的更新,扫描报告也会不断更新,支持用户单击重新获取来获取最新的沙箱分析报告。
![]()
8. 分析过程中若获取样本失败,用户可单击重新获取样本重新投入沙箱进行分析。
9. 查看分析报告详情,支持查看该样本关联 IOC、多维检测、ATT&CK 行为检测、域前置信息、静态分析等多维度的详情信息。
![]()
按终端查看告警
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择终端安全防护中心 > 威胁告警。
2. 在威胁告警页面,支持按照终端查看产生的告警,用户可切换到该按终端查看页,查看产生告警的终端数据。
支持多维度检索。
单击![]()
支持单击告警名称/ID查看告警详情以及处置该告警。
支持直接处置终端,单击处置,隔离终端。