聚合模式

根据上述条件检索可以看到具体的安全告警列表，每一个安全事件的维度包括：威胁描述、攻击方向、风险资产数、威胁等级、攻击阶段、检测引擎、威胁类型、最近发生时间、处置状态、操作等维度，如下图所示。

其中：

• 风险资产数：代表该安全告警关联的风险资产数量，在告警详情页面选择风险资产子页面可以查看到，如下图所示。

• 攻击方向：代表该安全告警数据流方向性，包括：无方向、外对内(比如外部发起的攻击)、内对内(比如横向)、内对外(比如恶意外联)等，如下图所示。

• 处置状态分为：未处置、处置中、挂起；

• 最近发生时间：代表该告警内部的所有风险资产关联的告警日志的最近一条的时间，如下图所示。

• 检测引擎：代表识别该告警通过的内置检测引擎名称。

• 处置状态：代表安全告警的处置状态，假如有多个风险资产，且所有风险资产全部为已处置的状态时该处会显示[已处置]，如果存在有未处置的风险资产，该处会显示[未处置]，如下图所示。

详情模式

详情模式下每条告警的属性包括：最近发生时间、威胁描述、威胁定性、威胁类型、攻击阶段、威胁等级、受害者IP、受害者所属、攻击者IP、攻击者所属、代理服务器、攻击结果、状态码、攻击次数、URL、威胁情报、设备来源、数据来源、处置状态、处置操作等，如下图所示。

其中，

• 威胁定性：安全分析引擎对告警数据进行分析，按照人工渗透、程序自动化、业务风险相关、其他等四类进行定性，帮助安全人员高效的完成攻击告警的分析研判工作；

• 威胁类型：告警所属的威胁子类；

• 威胁等级：包括高威胁、中威胁、低威胁；

• 受害者所属：受害者所在的资产分组名称；

• 攻击者所属：包括互联网区域或者内网某个资产分组，如下图所示。

• 代理服务器：记录代理场景的Cdn-Src-Ip、X-Forwarded-For、X-Real-IP和Clienttip字段信息，在有代理场景时确保在流量探针侧开启了源地址记录开关。

• URL：告警详情中涉及的域名/URL信息；

• 数据来源：分为本平台或者级联环境中的下级平台；

• 设备来源：包括AF、EDR、以及探针等接入设备；

• 操作：分为手工处置和策略联动处置。

其中在上述所有属性中，可以对威胁类型、攻击阶段、威胁等级、受害者IP、受害者所属、攻击者IP、攻击者所属、结果、状态码、设备来源、处置状态这些属性，通过<>图标下钻子类查询，如下图所示。