安全告警是指深信服安全检测与响应平台XDR检测到的您现网资产中存在的威胁，这些威胁通常是某个恶意IP对您资产进行的攻击。

告警查看

分析多面板

XDR安全告警列表现现在配备了多个分析面板，提供灵活的筛选和过滤机制，使用户能根据组织组织的实际情况定制告警展示界面。这一设计不仅使告警的分类治理更加高效，也确保了关键告警能够获得优先处理。

GPT研判结论

GPT针对每条会给出研判结论，结论包含以下：

• 业务误报
• 可疑行为
• 有效告警
• 潜在风险访问
• 疑似攻击行为
• 真实攻击成功
• 等待GPT研判
• 数据不足

告警定性 

安全告警的告警定性将安全分为8类，分别为：  

• 定向攻击：定向的渗透行为、隐蔽的攻击行为，常见于部分活跃的勒索团伙、数据窃取、APT组织活动； 
• 疑似定性攻击：疑似人工发起渗透行为
• 病毒：常见的病毒、木马、蠕虫行为，例如：挖矿、僵尸网络、流氓软件、感染型病毒； 
• 扫描器攻击：由工具类扫描器引发的告警，通常为攻击者的预先信息收集、漏洞验证行为，为后续攻击做准备； 
• 脆弱性风险：由业务风险引发的告警，包含弱密码、未授权访问、未修复的漏洞等风险； 
• 业务行为：由于业务存在一定特殊性导致命中安全检测规则，所产生的业务误报； 
• 未知威胁：包含无法直接定性的威胁、历史遗留告警、未配置告警定性字段的自定义规则所产生的告警（可通过配置优化）； 

重点关注

在安全告警分析导航栏下，点击页面中右侧齿轮状按钮，在弹出窗口中配置重点关注告警属性，包含资产、攻击结果、告警定性、告警类型、访问方向、是否关联事件。配置完成后，点击”仅看重点关注“，展开重点关注告警。

举例：比如重点关注资产有服务器资产，攻击结果为成功，告警定性为定向攻击，告警类型为全部、访问方向为全部，是否关联事件为已关联、未关联。

告警检索

在安全告警分析导航栏，支持以24小时、7天等频率展示该统计时间安全事件结果；支持以15秒、1分钟、5分钟等刷新频率自动刷新展示安全告警，在重保、攻防对抗等关键时期，可以设置自动刷新频率，省去重复性点击动作，结合过滤条件帮助您更好聚焦安全研判。例如间隔5分钟自动刷新XDR检出的严重等级安全告警。

在安全告警分析导航栏，支持以告警等级（严重、高危、中危、低危等）、告警三级分类标签（如脆弱性风险、邮件攻击、漏洞攻击等）、攻击结果（成功、失陷、尝试、失败）以及访问方向（无、内到外、外到内、内对内）等条件快速过滤展示，帮助您更聚焦目标时间段内高价值安全告警。例如过滤对10.33.97.100主机攻击结果为失陷的安全告警。

IP全文检索  

• 目前护网安全运营等知道一个高危IP或者资产需要查看所有关于这个IP的影响面，需要指定源、目的IP等检索，效益低，易用性差。 
• 用户可以在告警列表快速通过IP找到相关的数据，而不需要指定特定的IP去检索，只需要在专家模式输入任意IP，就可以全文检索告警列表所有的IP字段并命中相关结果 
• 检索语法：专家模式输入框输入IP 如1.1.1.1，不要加双引号

IP支持模糊搜索

• 安全告警分析专家模式，新增对安全告警的like和rlike检索支持；

  • 源IP、主机IP、目的IP支持like语句模糊搜索

• •  源IP、主机IP、目的IP支持rlike语句正则搜索

• •  like模糊搜索和rlike正则搜索语句拼接

安全告警搜索优化

• 在安全告警页面搜索IP时，若存在多个IP，命中的IP放在首位展示。

 搜索之后，IP顺序发生改变，优先展示搜索过的IP。

告警详情

安全GPT分析

备注：需要部署运营GPT，并开通授权。

• 提供网络侧安全告警，新增IPS、黑客工具、IOC安全告警的解读；提升了WAF类安全告警的解读能力、更多的类型安全告警的解读；

• 目前80%的安全告警，都支持安全GPT解读；

安全GPT助手

点击安全GPT助手，可弹出“攻击解读”、“相似告警调查”、“主机威胁态势调查”、“同源和同目的的访问调查”功能。

详情

展示告警字段信息（包括告警规则ID、告警三级分类、GPT研判结论、数据包内容）等信息

相似告警列表

展示近30相似告警总数，需要提前配置告警相似性规则。

日志列表

展示告警关联的日志列表信息，展示字段包括序号、记录时间、规则名称、规则ID、上报设备、威胁一级分类、威胁二级分类、源IP、目的IP、目的端口、攻击状态

告警字段

展示告警常规字段和IP域名信息。

预案执行记录

展示预案执行情况，并可以进行人工处置。

工单流程

可发起流程工单，展示流程工单流转情况和进行处置。

终端举证

• 价值说明：单N侧的告警，无法研判是不是误报；这时候辅助一些端侧的信息（端侧的告警或者端的行为日志的进程信息），从而判断告警是不是误报。
• 场景：对仅N侧生产安全告警，通过E侧信息，进行辅助判断是否为误判。
• 在安全告警检索"检测引擎"为"NAE引擎"的告警，查看告警详情中的终端举证，辅助判断是否为误报

告警操作

针对安全告警的操作主要有以下几种，分别为添加标签、复制、规则配置、处置、标记、修改规则。

• 添加标签：为告警添加研判标签
• 复制：复制告警内容、复制源IP
• 规则配置
  标记状态代表对安全告警进行状态标记，比如标为待处置、标为处置中、标为误报、忽略等；
• 封禁地址、隔离主机、处置文件、信任文件分别代表联动组件执行具体处置动作；
• 加白名单代表将告警的属性信息增加白名单；
• 发起工单代表根据事先预定好的流程工单发起处置流程
• 执行SOAR代表根据事先定义好的剧本进行自动化事件响应。
• 自定义检测配置：支持自动IOC告警规则、自定义告警生成事件

同样支持将鼠标移动至具体安全告警上右键对安全告警进行操作。右键菜单栏内置小工具，如复制单元格以及复制整行支持快速将值复制到剪贴板，解码工具支持多种格式编码转换，省去手动打开解码网站进行Payload解码查看。

添加标签

选择一条或多条告警，为告警添加研判标签。标签包括有效告警、误报、待审核等，点击标签右侧的"..."可对标签内容和颜色进行修改。

在安全告警详情中，添加研判标签，可以设置标签的生效范围：

• 生效范围：仅对当前告警生效、对相似性告警生效
• 生效告警：近30天告警、未来告警

配置完成相似性告警规则后，告警详情中会增加一个告警相似性列表。

复制

选择一条或多条告警可复制告警内容或复制源IP，点击“复制告警内容”后侧的齿轮可自定义复制告警内容。

针对网侧告警和端侧告警可以自定义配置需要复制的内容，点击“详细指引”可以查看配置方法和效果。

规则配置

• GPT研判结论调优

查看告警的GPT研判结论，如果结论不准确可以选择【规则配置/GPT研判结论调优】进行配置，调优策略可配置内容如下:

• • 告警类型：选择安全告警三级分类
  • 策略名称：自定义策略名称
  • 规则：可以增加日志规则ID、告警等级、攻击结果等安全告警字段
  • 生效主机：自定义主机、全部主机
  • GPT研判结论：真实攻击成功、病毒木马活动等
  • 同步调整24小时历史告警结论

• 加白名单

对告警进行研判，如果存在误报，可以选择告警添加白名单规则，规则可配置内容如下:

• • 告警类型：选择安全告警三级分类
  • 规则名称：自定义规则名称
  • 规则：可以增加日志规则ID、告警等级、攻击结果等安全告警字段
  • 生效主机：自定义主机、全部主机
  • 加白时长：永久、7天、14天、自定义

处置

选择一条或多条告警进行处置，可处置动作包括：

• 封禁地址：联动AF封禁IP地址、URL、域名
• 隔离主机：联动EDR/AES隔离主机
• 处置文件：联动EDR/AES处置文件
• 信任文件：联动EDR/AES信任文件
• 执行预案：针对告警发起已启用的预案
• 流程工单：针对告警发起已启用的流程工单

封禁地址

处置告警的时候，点击封禁IP，支持自动填充需要封禁的IP、域名、URL，提高处置效率。

标记

选择一条或多条告警进行标记，可标记的动作包括：待处置、处置中、处置完成、误报、忽略。

修改规则

选择一条或多条告警修改规则，包括：

• 自定义IOC告警规则：可通过配置自定义IOC告警规则， 提高告警检出的全面性和及时性；
• 创建事件：将选中的一条或多条告警，立即转为安全事件；
• 自定义事件规则：对未来符合条件的告警，转为安全事件。

创建事件

对告警进行分析研判，判断告警攻击成功或主机失陷，但未生成安全事件，通过告警”创建事件“将告警转为自定义安全事件或关联事件。

自定义事件规则

• 选择告警点击鼠标右键，点击"自定义事件规则"

• 默认填充告警类型，日志规则ID（无日志规则ID填充告警规则ID），源IP，源端口，目的IP，目的端口，MD5，URL，域名，如果这些字段为空值则隐藏。

• N侧告警选择告警生成事件例子如下：

• E侧告警选择告警生成事件例子如下：