告警通知与修复

概述

告警通知与修复部分可配置告警的传达与修复方式。通知功能确保管理员和安全团队实时获知告警，而操作手册则提供自动化修复方案，实现对威胁的快速响应。

通知设置

1. 导航至“告警”选项卡并选择所需的告警配置文件。

   

2. 在“通知设置”选项卡下，您可以配置通知的发送方式。

   

   可用选项：

   • 发送通知下拉菜单：选择是否持续发送所有告警通知，或在通知触发后暂停特定时长。

     

   • 邮件通知：通过输入收件人、主题行及可自定义的动态宏消息模板启用邮件提醒。

     

   • 选择"电子邮件通知"后，可配置以下字段：
     • 收件人：输入 邮件接收地址。多个地址可用逗号分隔。示例：admin@example.com, soc@example.com
     • 主题：定义 邮件通知的主题行。可使用宏插入动态值，如%EVENTID%、%SOURCE%或%ALERTNAME%。示例：告警：%EVENTID%由%SOURCE%触发
     • 邮件正文：自定义 通知邮件内容。系统提供默认文本，可编辑添加相关告警详情与操作指引。此处同样支持插入宏获取动态数据。
     • 宏：通过" 添加宏"选项可动态插入系统变量。常用宏包括：
       • %SOURCE% → 事件的生成源
       • %EVENTID% → 事件标识符
       • %ALERTNAME% → 触发告警配置文件的名称
       • %TIME% → 事件发生时间
       • %MESSAGE% → 详细事件消息
     • 重新配置邮件服务器

       若电子邮件通知失败，请确保邮件服务器配置正确。使用"重新配置邮件服务器"选项更新邮件服务器设置。

   • 短信通知：通过添加手机号码和预定义消息格式启用短信提醒。

     

   通知功能可即时呈现关键告警，使IT和安全团队即使未登录控制台也能快速检测并响应。

操作手册修复

1. 在告警配置文件中导航至“操作手册”选项卡。

   

2. 勾选启用操作手册选项。

   

3. 在此处，您可以：
   • 从预定义操作手册中选择，以自动化执行标准修复步骤。
   • 点击“添加新Playbook”创建自定义Playbook。系统将弹出确认窗口，选择“确定”继续。
   • 系统将跳转至“管理Playbook”模块以配置新Playbook。

操作手册示例操作包括：

• 禁用遭入侵的用户账户。
• 封堵恶意IP地址。
• 终止可疑进程。

配置完成后，选定的操作手册将在告警配置文件触发时自动执行，从而缩短响应时间并最大限度减少人工干预。

有关配置操作手册的详细信息，请参阅《操作手册管理》帮助文档。

另请参阅

本页说明了如何为检测到的威胁配置告警通知和修复措施。了解更多关于配置通知、启用操作手册和管理告警的内容，以优化响应流程并减少人工操作。

• 概述
• 创建告警配置文件
• 管理告警配置文件