文档

AI告警分析

更新时间:

云安全中心应用AI大模型技术,从安全运营管理者的视角出发,在告警分析、告警处置及持续监测的整体管理链路中,利用AI大模型对关联事件的综合分析能力,高效地帮助安全管理者完成安全告警运营。

使用限制

  • 仅支持已购买云安全中心防病毒版、高级版、企业版或旗舰版的阿里云账号使用该功能。

  • AI告警分析支持展示告警解释、告警溯源、处理建议等信息。由于不同告警收集到的信息不同,告警可能不会展示部分信息(例如处置建议、告警主机存在的其他告警情况等),为正常情况。

  • 支持AI告警分析功能的告警类型如下。

    单击此处查看支持该功能的告警类型

    告警类型

    是否支持

    告警类型

    是否支持

    进程异常行为

    恶意脚本

    网站后门

    恶意网络行为

    异常网络流量

    进程异常行为

    异常事件

    容器集群异常

    敏感文件篡改

    漏洞利用

    恶意软件

    可信异常

    异常网络连接

    持久化后门

    容器主动防御

    镜像扫描

    异常账号

    容器防逃逸

    应用入侵事件

    异常登录

    风险镜像阻断

    云产品威胁检测

    精准防御

    恶意进程(本地查杀)

    应用白名单

    网站后门(本地查杀)

    持久化后门

    其他

    Web应用威胁检测

查看AI告警分析结果

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择检测响应 > 安全告警处理

    如果您已购买威胁分析与响应服务,左侧导航栏入口将变更为威胁分析与响应 > 安全告警。您需要在安全告警页面右上角,单击主机和容器安全告警,前往安全告警处理页面。

  3. 安全告警处理页面,单击目标告警AI分析列的image图标或操作列的详情,可查看该告警的详情及大模型分析说明结果。

    AI分析列显示image图标表示该类型告警不支持使用大模型分析说明功能。

  4. AI告警分析区域,查看告警解释和处置建议;单击猜您想了解区域的问题,获取更多信息。

    建议您根据告警详情提供的告警信息,结合AI告警分析提供的告警解释、溯源报告、处置建议,判断该告警为真实攻击或误报,然后单击告警处理,在对话框中处理当前告警。关于处理告警的更多信息,请参见查看和处理安全告警

    下面以Web漏洞利用告警为例展示大模型分析的结果。

    • 告警解释

      image

  • 告警分析结论及处置建议

    image

  • 查看告警溯源报告

    image

  • 查看告警主机最近60天的可疑行为

    image

相关文档

  • 关于云安全中心安全告警功能的更多信息,请参见安全告警概述

  • 查看和处理您资产中存在的安全告警的具体方法,请参见查看和处理安全告警

  • 可通过开启恶意主机行为防御、网站后门连接防御等开关,自动拦截主机侧的病毒。开启此类功能的具体操作,请参见主机防护设置

  • 可通过开启容器K8s威胁检测、容器防逃逸开关,开启容器集群异常容器防逃逸类型告警的检测,具体操作,请参见容器防护设置