云安全中心的AI告警分析功能利用大模型技术,对安全告警进行深度分析。该功能提供告警解释、攻击溯源和处置建议,以在海量告警中识别真实威胁,并确定响应和处置的优先级。
AI告警分析
适用范围
版本要求:需购买云安全中心包年包月任意版本(防病毒版、高级版、企业版或旗舰版)或开通主机及容器安全后付费服务,购买步骤请参见购买云安全中心。
支持范围:AI告警分析功能仅支持部分告警类型。具体支持的类型,请参见附录:AI告警分析支持详情表。
查看AI告警分析结果
登录云安全中心控制台。
在左侧导航栏,选择。在控制台左上角,选择需防护资产所在的区域:中国内地或非中国内地。
说明如果已购买威胁分析与响应服务,左侧导航栏入口将变更为。
在安全告警页面云工作负载保护平台(CWPP)页签,单击目标告警AI分析列的
图标或操作列的详情,可查看该告警的详情及大模型分析说明结果。说明AI分析列显示
图标表示该类型告警不支持使用大模型分析说明功能。在AI告警分析区域,查看告警解释和处置建议;单击猜您想了解区域的问题,获取更多信息。下面以Web漏洞利用告警为例展示大模型分析的结果。
重要由于不同告警收集到的信息不同,告警可能不会展示部分信息(例如处置建议、告警主机存在的其他告警情况等),为正常情况。
告警解释
告警分析结论及处置建议
查看告警溯源报告
查看告警主机最近60天的可疑行为
处理安全告警:
结合告警详情和AI提供的分析报告(包含告警解释、溯源、处置建议),判断该告警为真实攻击或误报。
若为真实攻击,请单击告警处理,在对话框中处理当前告警。
说明关于处理告警的更多信息,请参见评估及处理安全告警。
AI自动处置告警(AI告警降噪)
适用范围
如需使用该功能,请确保云安全中心满足以下任一条件:
包年包月:已购买任意版本服务(防病毒版、高级版、企业版或旗舰版)。
按量付费:已开通主机及容器安全后付费服务。
详细购买步骤,请参见购买云安全中心。
AI告警降噪旨在帮助安全运营人员更高效地处理安全告警,主要能力:
智能过滤降噪:协助安全运营人员合理定义告警处置优先级,从海量数据中精准过滤掉误报和低风险噪音,帮助运营人员快速锁定高风险事件,明确处置的优先级。
自动化精准处置:针对AI研判为真实攻击的告警实现自动处置,提升处置效率。
操作步骤
开启AI告警降噪
进入安全告警页面云工作负载保护平台(CWPP)页签,打开告警列表右上方的AI告警降噪开关。
查看 AI 分析结果
功能开启后,系统将每日自动对新增的告警进行深入分析。在告警列表的AI分析列,可以查看每条告警的研判结果:
真实攻击:高置信度确认为真实威胁,建议优先处理。
疑似误报:大概率为误报,可降低处理优先级。
无法研判(未知):因信息不足等原因,AI 暂时无法判断。
执行 AI 自动处置
进入AI告警处置页面
在安全告警列表中,将筛选条件 AI研判结果设置为全部或按需筛选。选希望进行 AI 自动处理的告警,单击列表下方的AI自动处置按钮。
说明也可将鼠标移至AI告警降噪开关区域,单击气泡弹窗中的立即处理。
评估并确认处置方案
在AI告警处置页面,可查看本次将要处理的实体(如恶意文件、异常进程、风险IP等)以及推荐的处置方案。
仔细评估处置方案是否可行。确认无误后,单击确认执行。
查看处置结果
处置完成后,回到安全告警列表,并将筛选条件是否已处理设置为已处理。
查看由 AI 自动处置完成的告警,其状态将显示为AI处置。
配额与限制
生效范围:仅对开启后新产生的告警进行分析和处置,历史告警不会被处理。
每日研判数量限制:
每台主机每日最多对 20 条告警进行 AI 研判。
同时触发研判多条告警时,系统按告警产生时间排序。
AI 自动处置范围限制:
AI 自动处置功能仅适用于同时满足以下两个条件的告警:
经 AI 研判为真实攻击告警;
告警中包含明确可被处置的实体(如文件、进程、IP 等)。
附录:AI告警分析支持详情表
告警类型 | 是否支持 |
进程异常行为 | 是 |
网站后门 | 是 |
异常网络流量 | 是 |
异常事件 | 是 |
敏感文件篡改 | 是 |
恶意软件 | 是 |
异常网络连接 | 是 |
容器主动防御 | 是 |
异常账号 | 是 |
应用入侵事件 | 是 |
风险镜像阻断 | 是 |
精准防御 | 是 |
应用白名单 | 是 |
持久化后门 | 是 |
Web应用威胁检测 | 是 |
恶意脚本 | 是 |
恶意网络行为 | 是 |
进程异常行为 | 是 |
容器集群异常 | 是 |
漏洞利用 | 是 |
可信异常 | 是 |
持久化后门 | 是 |
镜像扫描 | 是 |
容器防逃逸 | 是 |
异常登录 | 否 |
云产品威胁检测 | 否 |
恶意进程(本地查杀) | 否 |
网站后门(本地查杀) | 否 |
其他 | 否 |