安骑士企业版支持主机异常告警自动化关联分析。您可在主机异常页面单击单个告警事件名称进入该告警事件的自动关联分析页面、查看和处理告警事件所有关联的异常情况,帮助您对告警事件进行全方位分析。

主机异常告警自动关联分析功能特性

  • 主机异常告警自动关联分析功能可对相关的异常事件进行实时自动化关联,挖掘出潜藏的入侵威胁。
  • 告警自动化关联以告警发生的时间顺序聚合成关联的告警,帮助您更便捷地分析和处理告警事件,提升您系统的应急响应机制。

操作步骤

  1. 登录安骑士管理控制台
  2. 在左侧导航栏定位到入侵检测 > 主机异常
  3. 主机异常页面单击需要查看的入侵告警事件名称打开告警事件详情页面。
  4. 在入侵告警事件详情页面查看告警事件的详细信息、关联的异常事件和对告警/异常事件进行处理。
    • 查看告警详细信息:您可查看受该告警事件影响的资产信息、告警开始/结束事件、关联异常事件的详情。
    • 查看受影响资产:单击受影响的资产名称可跳转到对应资产的详情页面,方便您集中查看该资产的全部告警信息、漏洞信息、基线检查漏洞、资产指纹和安全配置等信息。
    • 查看和处理关联异常:您可在关联异常区域查看该告警事件关联的所有异常情况的详细信息、建议处理方案和处理方式。
      • 确认线下处理:确认告警并线下进行处理后,单击该操作后该告警状态将变为已处理
      • 忽略本次:忽略本次告警,该告警状态将变为已处理,后续安骑士不会再对该事件进行告警。
      • 标记为误报:标记本次告警为误报后该告警状态将变为已处理,后续安骑士不会再对该事件进行告警。您可以在已处理列表中定位到该事件对其进行取消标记误报的操作。
      说明 为方便您集中查看和处理相关的异常事件,关联异常区域中显示的关联异常事件将不会显示在主机异常列表中。