针对安全告警的操作主要有以下几种,分别为添加标签、复制、规则配置、处置、标记、修改规则。同样支持将鼠标移动至具体安全告警上右键对安全告警进行操作。右键菜单栏内置小工具,如复制单元格以及复制整行支持快速将值复制到剪贴板,解码工具支持多种格式编码转换,省去手动打开解码网站进行Payload解码查看。
选择一条或多条告警,为告警添加研判标签。标签包括有效告警、误报、待审核等,点击标签右侧的"..."可对标签内容和颜色进行修改。
在安全告警详情中,添加研判标签,可以设置标签的生效范围:
配置完成相似性告警规则后,告警详情中会增加一个告警相似性列表。
选择一条或多条告警可复制告警内容或复制源IP,点击“复制告警内容”后侧的齿轮可自定义复制告警内容。
针对网侧告警和端侧告警可以自定义配置需要复制的内容,点击“详细指引”可以查看配置方法和效果。
查看告警的GPT研判结论,如果结论不准确可以选择【规则配置/GPT研判结论调优】进行配置,调优策略可配置内容如下:
对告警进行研判,如果存在误报,可以选择告警添加白名单规则,规则可配置内容如下:
选择一条或多条告警进行处置,可处置动作包括:
处置告警的时候,点击封禁IP,支持自动填充需要封禁的IP、域名、URL,提高处置效率。
选择一条或多条告警进行标记,可标记的动作包括:待处置、处置中、处置完成、误报、忽略。
选择一条或多条告警修改规则,包括:
对告警进行分析研判,判断告警攻击成功或主机失陷,但未生成安全事件,通过告警”创建事件“将告警转为自定义安全事件或关联事件。
默认填充告警类型,日志规则ID(无日志规则ID填充告警规则ID),源IP,源端口,目的IP,目的端口,MD5,URL,域名,如果这些字段为空值则隐藏。
用户可以在上图功能点所示页面上进行用户自定义告警规则的配置,目前支持配置字段为源IP、源端口、目的IP、目的端口、告警规则ID、日志规则ID、域名、URL、XFF、文件路径、文件MD5、告警等级、确定性等级、检测引擎、风险标签、攻击结果、ATTCK技术、数据源-原始、访问方向、威胁定性。
用户配置完成后即在页面列表上展示出一条对应的规则,该规则会被下发至能力引擎,当有对应的告警命中此规则时,即可根据用户配置生成对应的事件。
建议使用Chrome浏览器访问!
