AI告警分析

使用限制

• 仅支持已购买云安全中心防病毒版、高级版、企业版或旗舰版的阿里云账号使用该功能。

• AI告警分析支持展示告警解释、告警溯源、处理建议等信息。由于不同告警收集到的信息不同，告警可能不会展示部分信息（例如处置建议、告警主机存在的其他告警情况等），为正常情况。

• 支持AI告警分析功能的告警类型如下。

  单击此处查看支持该功能的告警类型

  告警类型	是否支持	告警类型	是否支持
  进程异常行为	是	恶意脚本	是
  网站后门	是	恶意网络行为	是
  异常网络流量	是	进程异常行为	是
  异常事件	是	容器集群异常	是
  敏感文件篡改	是	漏洞利用	是
  恶意软件	是	可信异常	是
  异常网络连接	是	持久化后门	是
  容器主动防御	是	镜像扫描	是
  异常账号	是	容器防逃逸	是
  应用入侵事件	是	异常登录	否
  风险镜像阻断	是	云产品威胁检测	否
  精准防御	是	恶意进程（本地查杀）	否
  应用白名单	是	网站后门（本地查杀）	否
  持久化后门	是	其他	否
  Web应用威胁检测	是	无	无

查看AI告警分析结果

1. 登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。

2. 在左侧导航栏，选择检测响应 > 安全告警处理。

   如果您已购买威胁分析与响应服务，左侧导航栏入口将变更为威胁分析与响应 > 安全告警。您需要在安全告警页面右上角，单击主机和容器安全告警，前往安全告警处理页面。

3. 在安全告警处理页面，单击目标告警AI分析列的图标或操作列的详情，可查看该告警的详情及大模型分析说明结果。

   AI分析列显示图标表示该类型告警不支持使用大模型分析说明功能。

4. 在AI告警分析区域，查看告警解释和处置建议；单击猜您想了解区域的问题，获取更多信息。

   建议您根据告警详情提供的告警信息，结合AI告警分析提供的告警解释、溯源报告、处置建议，判断该告警为真实攻击或误报，然后单击告警处理，在对话框中处理当前告警。关于处理告警的更多信息，请参见查看和处理安全告警。

   下面以Web漏洞利用告警为例展示大模型分析的结果。

   • 告警解释

     

• 告警分析结论及处置建议

  

• 查看告警溯源报告

  

• 查看告警主机最近60天的可疑行为

  

相关文档

• 关于云安全中心安全告警功能的更多信息，请参见安全告警概述。

• 查看和处理您资产中存在的安全告警的具体方法，请参见查看和处理安全告警。

• 可通过开启恶意主机行为防御、网站后门连接防御等开关，自动拦截主机侧的病毒。开启此类功能的具体操作，请参见主机防护设置。

• 可通过开启容器K8s威胁检测、容器防逃逸开关，开启容器集群异常、容器防逃逸类型告警的检测，具体操作，请参见容器防护设置。