安全告警大模型分析

使用限制

• 仅支持已购买云安全中心防病毒版、高级版、企业版或旗舰版的阿里云账号使用该功能。

• 大模型说明支持展示告警解释、告警溯源、处理建议等信息。由于不同告警收集到的信息不同，告警可能不会展示部分信息（例如处置建议、告警主机存在的其他告警情况等），为正常情况。

• 支持大模型分析功能的告警类型如下。

  单击此处查看支持该功能的告警类型

  告警类型	是否支持	告警类型	是否支持
  进程异常行为	是	恶意脚本	是
  网站后门	是	恶意网络行为	是
  异常网络流量	是	进程异常行为	是
  异常事件	是	容器集群异常	是
  敏感文件篡改	是	漏洞利用	是
  恶意软件	是	可信异常	是
  异常网络连接	是	持久化后门	是
  容器主动防御	是	镜像扫描	是
  异常账号	是	容器防逃逸	是
  应用入侵事件	是	异常登录	否
  风险镜像阻断	是	云产品威胁检测	否
  精准防御	是	恶意进程（本地查杀）	否
  应用白名单	是	网站后门（本地查杀）	否
  持久化后门	是	其他	否
  Web应用威胁检测	是	无	无

操作步骤

1. 登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。

2. 在左侧导航栏，选择检测响应 > 安全告警处理。

   如果您已购买威胁分析与响应服务，左侧导航栏入口将变更为威胁分析与响应 > 安全告警。您需要在安全告警页面右上角，单击主机和容器安全告警，前往安全告警处理页面。

3. 在安全告警处理页面，单击目标告警AI分析列的图标，可查看该告警的大模型分析说明结果。

   • 您可以单击目标告警操作列的详情，在告警详情面板的大模型分析说明页签，查看具体的分析结果。

   • 图标表示该类型告警不支持使用大模型分析说明功能。

4. 在大模型分析说明页签，查看告警解释和处置建议；单击猜您想了解区域的问题，获取更多信息。

   建议您根据告警解释和处置建议，判断该告警为真实攻击或误报，然后进行相应的处置。处理安全告警的具体操作，请参见查看和处理安全告警。

   下面以Web漏洞利用告警为例展示大模型分析的结果。

   • 告警解释

     

• 告警分析结论及处置建议

  

• 查看告警溯源信息

  

• 查看告警主机最近60天的可疑行为

  

相关文档

• 安全告警概述

• 查看和处理安全告警

• 主机防护设置：可参考该文档设置是否开启自动拦截主机侧的病毒。

• 容器防护设置：可参考该文档设置是否开启对K8s集群的安全告警检测。