安全态势感知管理平台SIP/探针STA

深信服安全感知平台(简称SIP)是一款面向全行业的大数据安全分析平台,旨在为用户构建一套集检测、可视、响应于一体的本地安全大脑,让安全可感知、易运营,更有价值。
点击可切换产品版本
知道了
不再提醒
SIP3.0.65
{{sendMatomoQuery("安全态势感知管理平台SIP/探针STA","告警处置")}}

告警处置

更新时间:2022-07-29

聚合模式仅支持手工处置,不支持联动处置,详情模式既可以手工处置也可以联动处置。

手动处置

方法1 直接处置

聚合模式下在选中安全告警,根据实际情况勾选<已处置>、<处置中>、<挂起>,处置状态变化后页面会更新。如下图所示。

详情模式下选中安全告警,根据实际情况勾选<已处置>、<处置中>、<挂起>、<加白>等,如下图所示。

方法2 在告警详情页面处置

聚合模式下选中安全告警,下钻到安全告警详情页面,点击页面右上角处置选项,如下图所示。

方法3 告警关联的风险资产处置

聚合模式下告警详情页面的风险资产-攻击者子页面,可以以风险资产颗粒度进行处置,如下图所示。

联动处置

在详情模式下,点击<>图标,弹出联动处置对话框,如下图所示。

进入到联动处置对话框,根据安全告警类型选择下拉,可以看到可选的响应策略,包括内置策略中的:一键查杀、封锁域名/URL、虚拟机挂起、快照、新增虚拟机、虚拟机关机、隔离主机、冻结账号、上网提醒、冻结终端、访问控制等,还有通过克隆编辑或者自定义的策略,如下图所示。

点击<下一步>,会根据所选的动作进入到联动处置参数配置阶段,包括:匹配的联动设备选择、动作处置关联的选项等参数,不同策略参数不一样,示例以内置的封锁源IP,如下图所示。

点击<执行>,进行处置动作下发,可以看到页面上方提示<执行成功>,如下图所示。

在[处置中心/处置记录/策略执行历史]页面,可以看到既往的处置历史,包括状态、结果、策略相关的信息等,如下图所示。

告警加白

除了对安全告警进行处置还可以进行手动加白处理,选中告警点击<>图标,下拉选中<加白>,会自动弹出[新增安全白名单]弹框,且默认已填写了源目IP、规则信息等,人工需要勾选确认,并且指定生效设备、生效时间等。

加白功能是面向安全告警,安全事件不能加白。