告警概览

概述

本页面详细说明告警如何实时通知您安全事件、合规问题和关键文件变更。您可以创建预定义或自定义告警配置文件，设置严重性级别并接收通知。告警还可通过操作手册触发自动化操作，实现更快速响应。

事件告警

通过实时告警掌握关键安全事件动态。系统会分析审计日志中的入侵指标（IoCs），并在必要时通过短信或电子邮件通知您。

告警分为三个严重性等级：需关注、故障和危急，助您高效优先处理并响应。

核心功能

• 实时安全告警（包括导入日志生成的告警）
• 合规性特定告警用于监管监控
• 文件完整性监控（FIM）告警，用于标记敏感文件或文件夹中的关键变更
• 预定义与自定义告警配置文件

从1000余项预定义告警条件中选择，覆盖各类威胁场景。您还可根据组织需求构建自定义告警配置文件，通过阈值、时间范围等参数实现精准控制。

修复与响应集成

• 当告警触发时，您可直接在控制台中处理事件，或通过外部工单工具进行升级处理以增强责任追溯性。
• 为实现更快速的自动化响应，您可以分配操作手册以即时执行操作，例如禁用遭入侵的账户、关闭系统或终止可疑进程。
• 在界面告警标签页下查看所有触发的告警。

工作架构

应用场景

1. 敏感配置文件安全防护

应用场景：财务部门包含关键交易设置的配置文件在非工作时间被修改，引发篡改嫌疑。

启用告警后，文件完整性监控（FIM）告警立即触发。该操作手册通过执行恢复文件最后干净版本、记录事件日志、通知安全团队等操作支持快速响应，从而最大限度降低风险并维护系统完整性。

2. 检测未授权登录模式

用例某员工账户在短时间内出现多次登录失败，暗示凭证可能遭滥用。

告警机制：实时生成安全告警。响应系统通过工单工具升级事件等级，并可选执行操作手册：临时锁定账户并通知管理员，在控制潜在损害的同时确保快速调查。

延伸阅读

本页阐述了告警如何增强组织的威胁检测与修复能力。深入了解创建告警配置文件、配置通知及监控事件以强化安全合规性。

• 创建告警配置文件
• 管理告警配置文件
• 告警通知与修复