查看并处理事件
当接入的资产数量较多时,Agentic NDR产生的告警常存在数量庞大、噪声高、语义关联缺失等问题。Agentic NDR事件中心在现有告警基础上,以攻击者为单位进行自动聚合,形成结构化的攻击事件,提供统一的溯源视图,便于分析攻击路径和影响范围,降低告警处理负担。
进入事件中心
登录Agentic NDR控制台,在左侧导航栏,单击。查看事件概览
事件页面顶部显示所选时间范围内的事件总数及风险等级分布。如需调整时间范围,请单击右上角的进行自定义。说明风险等级含义说明:
紧急:判定为资产失陷或攻击成功,该事件包括资产已失陷、漏洞被成功利用等。
高危:检测到高强度攻击尝试,该事件影响范围较广,且受影响的资产数量众多。
中危:发现明确的攻击探测行为。攻击意图清晰,但受影响资产范围处于可控状态。
低危:攻击尝试被防御机制完全阻断,或因环境不匹配导致攻击失败。涉及资产数量较少。
查看并处理具体事件
页面下方列出所选时间范围内的所有事件。可通过筛选栏按状态、风险等级、事件名称等条件进行筛选或搜索。
单击目标事件的事件名称,将弹出事件详情面板,可在该面板中执行后续处理操作。
查看Agent生成的详细事件报告
在事件详情面板顶部,显示由 Agent 生成的事件报告摘要。单击完整报告可查看详细内容,包括攻击相关信息与处置建议。
查看分析视图
在事件详情面板,Agentic NDR 提供以下三类分析视图:
溯源视图:展示攻击者与受害者之间的攻击路径拓扑图。
实体视图:汇总与该事件关联的所有IP地址与域名,包括外部威胁和内部资产。
告警视图:汇总与该事件关联的所有告警信息。
溯源视图
溯源视图通过图形化方式展示攻击路径。支持以下交互操作:
单击时间线,按告警发生时间由新至旧(由上至下)排序显示。
单击任一告警,系统将高亮该告警对应的攻击路径,用于还原完整攻击过程。
图标含义如下表所示,可单击某一图标进入实体详情页面,展示阿里云威胁情报相关信息。
图标 | 含义 |
| 本事件的主要攻击者,即初始入侵点。 |
| 内部的资产或受害者。若带有 |
| 外部的攻击者(非 C2),如扫描器、暴力破解源等。 |
| 外部的恶意 C2 服务器(Command & Control),关联域名,用于远程控制受害主机。 |
图标,则表示该资产已失陷。
实体视图
实体视图展示与当前事件关联的所有实体列表,支持以下操作:
筛选与搜索:在筛选栏中,可按来源、IP地址、域名、实体值等条件对实体进行筛选或搜索。
查看威胁情报:单击目标实体的实体值,可查看该实体在阿里云威胁情报中的相关信息。
加白操作:单击目标实体操作列的加白,可将该实体加入白名单。加白成功后,系统将不再生成该实体相关的告警。
告警视图
告警视图展示与当前事件关联的所有告警列表,支持以下操作:
图标,可查看 AI 生成的告警分析内容及对应的防御建议。处置与更新事件状态
在事件详情面板中,可根据分析结果对事件进行状态更新或处置操作,以支持后续跟踪与管理:
处置事件:单击右上角推荐处置或左下角一键处置按钮,进入推荐处置页面。支持如下二类处置操作:
加白实体:单击目标实体操作列的加白,通过配置告警白名单,将该实体加入白名单。加白成功后,系统将不再生成该实体相关的告警。
封禁实体:该功能与云防火墙联动,采用“地址簿引用 + ACL 策略复用”的设计模式。Agentic NDR 在云防火墙侧预置专用的封禁地址簿与 ACL 策略,封禁或解封操作仅作用于地址簿条目,从而避免规则堆叠。当单个地址簿的条目数达到 2000 条上限时,系统将自动扩容并新增一组ACL与地址簿,该过程对用户透明无感。
单击目标实体操作列的封禁,进入封禁配置页面,并完成以下配置项。
重要配置前提:封禁功能依赖云防火墙能力,在NDR 执行封禁操作后,系统自动创建云防火墙地址簿与访问控制策略。配置前请确保已开启互联网边界防火墙,并为关联的公网资产开启防护。若防火墙未开启或目标 IP 所在方向未开启防护,封禁操作可能无法生效。
封禁范围:当前仅支持对公网方向的 IP 和域名进行封禁,暂不支持封禁私网 IP。
域名封禁协议范围:域名封禁仅作用于 HTTP/HTTPS 流量,基于云防火墙的 FQDN 识别能力。使用非标端口或非 HTTP 协议通信的恶意域名暂不支持封禁。
地址簿容量限制:单个地址簿的条目数受云防火墙配额限制,详情请参考地址簿。
ACL 策略依赖:请勿在云防火墙控制台中手动修改、删除或关闭由 NDR 创建的 ACL 策略与地址簿,否则系统将提示相关异常信息。
配置项
说明
封禁对象
当前事件的关联实体,不支持修改。
流量方向
入方向:阻断外部实体访问您的资产,适用于防御外部攻击者的入向扫描或漏洞利用场景。
出方向:阻断您的资产访问外部实体,适用于阻断失陷主机与 C2 IP 的外联通信场景。
双向:同时生效入方向与出方向的两条阻断策略。
封禁类型
支持永久封禁与定时封禁,选择定时封禁后,需继续配置具体的封禁时长。
备注
填写便于识别的规则备注。
更新事件状态:单击右上角状态区域的
图标,可将事件状态修改为处理中或已处理。
图标,可将事件状态修改为处理中或已处理。上述操作也可在事件中心的事件列表页完成。在事件列表中,单击目标事件操作列的推荐处置或更新事件状态,可实现相同的处置与状态更新功能。
封禁操作管理
执行封禁实体操作后,可在事件中心的事件列表页,单击右侧的封禁操作管理进行后续管理,具体功能如下:
编辑或删除已封禁的实体:在封禁列表,系统展示封禁中与已失效(含手动解封或时长到期自动解封)的实体。对于封禁中的实体,支持执行解封或编辑操作;对于已失效的实体,支持执行重新封禁或删除操作。
查看封禁记录:在封禁记录页签,系统记录完整的封禁日志,支持通过实体名称、状态、动作等条件进行筛选查询。
配置封禁白名单:为防止误封禁实体导致业务中断,可在封禁白名单页签,将无需封禁的实体添加至白名单中。
配置自定义白名单
在自定义白名单页签,单击添加白名单,并完成如下配置项:
配置项
说明
实体类型
支持IP地址与域名。
实体名称
IP地址格式:
172.16.0.0/16或192.168.1.1域名格式:
aliyun.com
多个实体之间使用英文逗号分隔。
备注
设置一个便于识别的备注说明。
配置预定义白名单启用状态
Agentic NDR 系统默认配置了预定义白名单(包含阿里云云服务可信 IP 等地址),可以在预定义白名单页签中设置该白名单的启用状态。
说明预定义白名单仅支持查看或编辑其启用状态,无法编辑其中的IP地址,其中,基于威胁情报的高信誉IP与域名虚拟地址簿, 不提供具体地址列表。
威胁分析概览
威胁分析是Agentic NDR产品的核心能力,基于阿里云自研的入侵检测、威胁情报、行为分析及安全沙箱等检测引擎,可为企业用户提供全流量的攻击检测与威胁分析能力,并提供告警数据的统计、聚合分析、关联分析能力。
同时Agentic NDR产品还可以对网络流量中传输的文件进行还原和风险分析,针对可疑风险文件进行告警并提供样本数据供用户分析。
告警分析
在左侧导航栏,选择检测。
在告警页签,查看当前的失陷数量与告警总数,了解每种告警的发现时间与嫌疑者、受害者的访问关系。
可以按照多个筛选条件查询指定范围的告警分析数据,并通过告警名称、攻击者IP、受害者IP进行分组聚合统计,攻击者IP与受害者IP之间存在级联关系。通过特定的攻击者IP,可以关联到相应的受害者IP,反之亦然。选择某一攻击者IP或受害者IP时,下方区域的告警数据信息将实时更新,单击受害者IP地址,可在对话框查看具体的资产详情。
告警详细信息
告警详情包含告警基本信息、告警详细日志、相关报文列表、及关联告警信息及ATT&CK技术信息五个模块为您多维度深入剖析当前告警事件,帮助您快速研判和处置告警事件。
AI告警解释
进入详情页面后,针对该条告警信息,将通过安全AI助手自动生成并展示以下告警解释:
告警解释 | 说明 |
告警总结 | 对告警信息进行概述,包括攻击者、受害者、告警名称、检测引擎等基本信息,并概括攻击意图。 |
Payload内容分析 | 对检出的Payload进行解释,包括内容解释,攻击手法,可能造成的威胁等。 |
攻击结果分析 | 对引擎攻击结果进行解释。当引擎标记攻击结果为尝试时,由大模型根据请求/响应报文,研判攻击结果。 |
威胁情报 | 在威胁情报中查询攻击者IP以及Payload中出现的域名和IP,并解释威胁情报信息。 |
关联告警分析 | 对攻击者和受害者在48小时内的相关告警进行概括,分析攻击意图、处于攻击阶段等。 |
攻击者IP威胁分析 | 概括攻击IP近一天的告警触发情况,从攻击次数、时间、攻击结果、受害资产等的分布,分析攻击者IP威胁态势情况。 |
防御建议 | 结合告警内容、告警分析解读,从日志排查、应用排查、访问控制等方面给出防御建议。 |
基本信息
在基本信息区域,显示该告警可能相关的CVE信息,单击查看CVE信息,将访问阿里云漏洞库以获取该漏洞的披露与分析信息,并了解该漏洞的影响范围及相应的升级解决方案。同时您也可在该区域查看攻击时间、告警次数、告警时间及告警名称等详细信息。
相关告警列表
在相关告警列表区域,查看告警信息。单击原始数据列中的payload,对告警Payload关键信息进行深入分析,其中命中告警规则的部分会高亮显示。单击Payload右下方提供的解码工具,将原始流量中的负载部分通过不同方式进行解码,Agentic NDR解码工具支持按照ASCII/UTF-8/十六进制等多种方式进行解码。
单击AI分析列的
,针对该条告警信息,将通过安全AI助手自动生成并展示告警解释,全面提升告警可读性与响应效率。单击操作列的报文分析,弹出在线解析PCAP页面查看报文分析,具体信息,请参见报文分析管理。
单击操作列的报文检索,跳转至攻击取证页面,根据流量五元组信息检索与告警相关的原始报文,并可下载相关报文的PCAP文件做进一步分析。
,针对该条告警信息,将通过安全AI助手自动生成并展示告警解释,全面提升告警可读性与响应效率。相关协议日志
在相关协议日志区域,查看日志概览。单击查看协议日志详情,跳转到协议日志分析中进一步溯源告警问题。
相关报文
在相关报文区域,可进行如下操作:
报文分析:在弹出的在线解析PCAP页面查看报文分析,具体信息,请参见报文分析管理。
报文检索详情:按照源IP地址与目的IP地址二元组跳转至风险页面,检索该告警相关的原始报文。
生成PCAP:下载原始报文的PCAP文件。
关联告警时间线
在关联告警时间线区域,按照时间轴分析该告警发生前后同一嫌疑者IP与受害者IP命中的多个告警,可以研究特定告警是否与其他事件在时间上的联系,帮助理解攻击者的行为模式。点击相关告警卡片中的告警名称,即可在新页面中查看详细的告警信息。
ATT&CK技术信息
在ATT&CK技术信息区域,可查看该类攻击基础的详细分析内容。
ATT&CK Matrix
在ATT&CK Matrix页签,Agentic NDR还提供基于ATT&CK标签分析告警的能力。
在该页签中,我们将为您统计不同的攻击技术告警,高亮显示存在告警的项,并且默认透出在上面,方便用户查看。单击告警项的数字,可以通过ATT&CK技术信息气泡框查看具体信息。如需查看具体的告警信息,请单击点击查看具体告警信息,将跳转至告警页签以获取详细告警信息。
配置告警白名单
Agentic NDR威胁分析提供告警白名单功能,告警白名单模块允许对特定类型的告警进行标记,以确认这些告警为安全,或已完成必要的确认程序,不需要重复处理。通过建立白名单有效的管理告警的优先级。
云安全中心相关扫描器的IP地址已默认设置为屏蔽,且不产生告警。
在左侧导航栏,选择检测。
在告警白名单页签,单击创建规则。
在告警规则过滤面板,配置相关字段。
单击确认。
试用期间告警日志支持最大保留时间为90天,超过阈值的告警日志按照最早时间覆盖。