告警管理

告警模块是平台接入的所有安全事件的中央仓库。它提供可过滤、可搜索的告警列表视图,涵盖从已连接数据源收集的每条告警,并支持详情查看、关联工单链接和分类处理操作。

导航路径: Monitor → Alerts

告警列表视图

告警列表按倒序时间展示所有已接入的安全事件,随 Orchestrator 从数据源拉取新数据动态更新。

过滤与搜索

过滤器 选项
时间范围 快速预设(15m、1h、24h、7d、30d)或自定义时间范围
严重级别 Critical / High / Medium / Low
状态 New / Acknowledged / In Progress / Closed
来源 按数据源集成名称过滤
全文搜索 跨告警标题、描述和原始消息内容搜索

表格列说明

说明
Alert ID 系统生成的唯一标识符
Title 来自源系统的告警名称 / 事件类型
Severity Critical / High / Medium / Low(颜色编码)
Source 生成该告警的数据源(如 Elastic Stack ELK)
Timestamp 来自源系统的事件发生时间
Ingested At 告警写入内部数据库的时间
Status 当前分类处理状态
Ticket 关联的工单编号(如该告警已生成或关联到工单)

告警详情视图

点击任意告警行打开详情视图。

详情区域

区域 内容
Summary 告警标题、严重级别、来源、时间戳
Raw Message 完整原始告警数据(JSON 语法高亮)
Linked Ticket 关联事件工单链接(如有)
MITRE ATT&CK 映射的战术和技术(如检测规则包含 ATT&CK 注释)
Observables 提取的指标:IP、域名、文件哈希、用户名

告警生命周期

告警遵循以下简单状态流转:

New → Acknowledged → In Progress → Closed
状态 说明
New 已接收,尚未审阅
Acknowledged 分析员已查看
In Progress 正在积极调查中
Closed 调查完成;工单已解决或告警已关闭

从告警到工单

告警可通过两种方式生成工单:

自动方式(关联引擎): Correlation 关联策略对每条传入告警进行规则评估。当条件匹配(时间窗口、字段值)时,引擎自动创建工单并链接触发告警。详细配置见数据接入 → 关联配置。

手动方式(从告警详情): 在告警详情页点击 Create Ticket,手动创建预填了告警元数据的新事件工单。

MITRE ATT&CK 映射

当告警由携带 ATT&CK 注释的 Sigma 规则生成时,平台在告警详情页显示对应的战术和技术,帮助分析员快速理解事件在攻击链中的阶段并优先处置。

告警去重

Orchestrator 运行时,使用来自源系统的告警唯一标识符(结合时间戳字段)防止重复接入。已导入的告警在后续运行时会被跳过。

批量操作

勾选多条告警后,可执行:

操作 说明
Acknowledge 标记选中告警为已确认
Assign 分配给分析员
Create Ticket 创建关联所有选中告警的新工单
Close 标记选中告警为已关闭

故障排查

问题 检查项
配置后告警列表为空 确认 Orchestrator 任务已成功运行;查看 Run History 排查错误
预期时间范围内告警缺失 确认 Orchestrator 任务的 Timestamp field 与 ES 文档 schema 匹配
告警重复出现 确保源文档的唯一 ID 字段值始终一致
告警未自动生成工单 检查关联策略是否已启用,以及条件是否与传入告警字段匹配