安全态势感知管理平台SIP/探针STA

深信服安全感知平台(简称SIP)是一款面向全行业的大数据安全分析平台,旨在为用户构建一套集检测、可视、响应于一体的本地安全大脑,让安全可感知、易运营,更有价值。
点击可切换产品版本
知道了
不再提醒
SIP3.0.65
{{sendMatomoQuery("安全态势感知管理平台SIP/探针STA","告警处置")}}

告警处置

更新时间:2022-07-29

联动处置

在邮件威胁分析页面告警列表,点击<>联动处置图标,进入到联动处置导航,可以根据响应策略进行处置,以内置的封锁源IP示例,如下图所示。

点击<下一步>,选择关联的设备,配置封锁时长等参数,点击<执行>,如下图所示。

其中:

  • 设备IP:可以看到具体实例名称以及对应的IP地址,默认全选,也可以根据情况手动调整,这些实例都是通过[系统设置/设备管理/联动响应]页面的信息对应。

  • 源IP:要封锁的源IP地址,会自动填充;

  • 封锁时长:可以下拉天/小时/分钟等不同颗粒度配置;

    执行后会弹出<执行成功>提示窗口。

如果需要对联动处置的执行结果进行查看,可以在[处置中心/处置记录]查看相应策略的执行历史,如下图所示。

手工处置

手工处置包括中方式,告警批量处置、单个告警处置,下面分别展开说明。

1.批量处置

下拉<批量操作>菜单,也可以根据列表进行选择并批量进行处置,如下图所示。

2. 单个处置

选中某个告警,点击<>,进行手工处置,包括:处置中、已处置、挂起、加白四个选项,如下图所示。