告警管理
告警模块是平台接入的所有安全事件的中央仓库。它提供可过滤、可搜索的告警列表视图,涵盖从已连接数据源收集的每条告警,并支持详情查看、关联工单链接和分类处理操作。
导航路径: Monitor → Alerts
告警列表视图
告警列表按倒序时间展示所有已接入的安全事件,随 Orchestrator 从数据源拉取新数据动态更新。
过滤与搜索
| 过滤器 | 选项 |
|---|---|
| 时间范围 | 快速预设(15m、1h、24h、7d、30d)或自定义时间范围 |
| 严重级别 | Critical / High / Medium / Low |
| 状态 | New / Acknowledged / In Progress / Closed |
| 来源 | 按数据源集成名称过滤 |
| 全文搜索 | 跨告警标题、描述和原始消息内容搜索 |
表格列说明
| 列 | 说明 |
|---|---|
| Alert ID | 系统生成的唯一标识符 |
| Title | 来自源系统的告警名称 / 事件类型 |
| Severity | Critical / High / Medium / Low(颜色编码) |
| Source | 生成该告警的数据源(如 Elastic Stack ELK) |
| Timestamp | 来自源系统的事件发生时间 |
| Ingested At | 告警写入内部数据库的时间 |
| Status | 当前分类处理状态 |
| Ticket | 关联的工单编号(如该告警已生成或关联到工单) |
告警详情视图
点击任意告警行打开详情视图。
详情区域
| 区域 | 内容 |
|---|---|
| Summary | 告警标题、严重级别、来源、时间戳 |
| Raw Message | 完整原始告警数据(JSON 语法高亮) |
| Linked Ticket | 关联事件工单链接(如有) |
| MITRE ATT&CK | 映射的战术和技术(如检测规则包含 ATT&CK 注释) |
| Observables | 提取的指标:IP、域名、文件哈希、用户名 |
告警生命周期
告警遵循以下简单状态流转:
New → Acknowledged → In Progress → Closed
| 状态 | 说明 |
|---|---|
| New | 已接收,尚未审阅 |
| Acknowledged | 分析员已查看 |
| In Progress | 正在积极调查中 |
| Closed | 调查完成;工单已解决或告警已关闭 |
从告警到工单
告警可通过两种方式生成工单:
自动方式(关联引擎): Correlation 关联策略对每条传入告警进行规则评估。当条件匹配(时间窗口、字段值)时,引擎自动创建工单并链接触发告警。详细配置见数据接入 → 关联配置。
手动方式(从告警详情): 在告警详情页点击 Create Ticket,手动创建预填了告警元数据的新事件工单。
MITRE ATT&CK 映射
当告警由携带 ATT&CK 注释的 Sigma 规则生成时,平台在告警详情页显示对应的战术和技术,帮助分析员快速理解事件在攻击链中的阶段并优先处置。
告警去重
Orchestrator 运行时,使用来自源系统的告警唯一标识符(结合时间戳字段)防止重复接入。已导入的告警在后续运行时会被跳过。
批量操作
勾选多条告警后,可执行:
| 操作 | 说明 |
|---|---|
| Acknowledge | 标记选中告警为已确认 |
| Assign | 分配给分析员 |
| Create Ticket | 创建关联所有选中告警的新工单 |
| Close | 标记选中告警为已关闭 |
故障排查
| 问题 | 检查项 |
|---|---|
| 配置后告警列表为空 | 确认 Orchestrator 任务已成功运行;查看 Run History 排查错误 |
| 预期时间范围内告警缺失 | 确认 Orchestrator 任务的 Timestamp field 与 ES 文档 schema 匹配 |
| 告警重复出现 | 确保源文档的唯一 ID 字段值始终一致 |
| 告警未自动生成工单 | 检查关联策略是否已启用,以及条件是否与传入告警字段匹配 |