云安全中心提供自动化告警关联分析能力,帮助您自动关联同一黑客入侵活动产生的多条告警,即聚合来自同一IP、同一服务和同一个用户的恶意告警。开启该能力后,您可以一键处理具有同一类型特征的告警,提升告警处理的效率。本文介绍如何开启自动化告警关联分析能力。

背景信息

自动化告警关联分析功能通过分析告警产生的链路,将来自同一IP、同一服务或同一个用户的多条恶意告警聚合为一个告警。云安全中心默认为 企业版旗舰版用户关闭该功能,您需要手动开启该功能。开启该功能后,云安全中心会在 安全告警处理页面,聚合特征相同的告警并重新统计 待处理告警总数急需处理的告警和各告警类型告警的数量。聚合后的告警右侧会产生 告警聚合图标图标,您可以单击聚合后的告警名称查看该告警自动化关联分析的结果。更多信息,请参见 查看告警自动化关联分析安全告警页面告警聚合分析

关闭自动化告警关联分析功能后,云安全中心会将已聚合的告警拆分成单条告警,并重新统计待处理告警总数急需处理的告警和各告警类型告警的数量。

版本限制说明

仅企业版和旗舰版支持该功能,其他版本用户需要升级到企业版或旗舰版才可使用该功能。购买和升级云安全中心服务的具体操作,请参见购买云安全中心升级与降配。各版本的功能详情,请参见功能特性

操作步骤

  1. 登录云安全中心控制台
  2. 在左侧导航栏,单击设置
  3. 自动化告警关联分析区域,打开告警关联开关。自动化告警关联分析
    注意 只有告警数据(包括已处理和未处理告警)少于或等于1万条时,您才能打开 告警关联开关。如果您的告警多于1万条,您可以在 安全告警处理页面归档数据,减少告警数据量。具体操作,请参见 归档告警数据