查看并处理事件
当接入的资产数量较多时,Agentic NDR产生的告警常存在数量庞大、噪声高、语义关联缺失等问题。Agentic NDR事件中心在现有告警基础上,以攻击者为单位进行自动聚合,形成结构化的攻击事件,提供统一的溯源视图,便于分析攻击路径和影响范围,降低告警处理负担。
进入事件中心
登录Agentic NDR控制台,在左侧导航栏,单击。查看事件概览
事件页面顶部显示所选时间范围内的事件总数及风险等级分布。如需调整时间范围,请单击右上角的进行自定义。说明风险等级含义说明:
紧急:判定为资产失陷或攻击成功,该事件包括资产已失陷、漏洞被成功利用等。
高危:检测到高强度攻击尝试,该事件影响范围较广,且受影响的资产数量众多。
中危:发现明确的攻击探测行为。攻击意图清晰,但受影响资产范围处于可控状态。
低危:攻击尝试被防御机制完全阻断,或因环境不匹配导致攻击失败。涉及资产数量较少。
查看并处理具体事件
页面下方列出所选时间范围内的所有事件。可通过筛选栏按状态、风险等级、事件名称等条件进行筛选或搜索。
单击目标事件的事件名称,将弹出事件详情面板,可在该面板中执行后续处理操作。
查看Agent生成的详细事件报告
在事件详情面板顶部,显示由 Agent 生成的事件报告摘要。单击完整报告可查看详细内容,包括攻击相关信息与处置建议。
查看分析视图
在事件详情面板,Agentic NDR 提供以下三类分析视图:
溯源视图:展示攻击者与受害者之间的攻击路径拓扑图。
实体视图:汇总与该事件关联的所有IP地址与域名,包括外部威胁和内部资产。
告警视图:汇总与该事件关联的所有告警信息。
溯源视图
溯源视图通过图形化方式展示攻击路径。支持以下交互操作:
单击时间线,按告警发生时间由新至旧(由上至下)排序显示。
单击任一告警,系统将高亮该告警对应的攻击路径,用于还原完整攻击过程。
图标含义如下表所示,可单击某一图标进入实体详情页面,展示阿里云威胁情报相关信息。
图标 | 含义 |
| 本事件的主要攻击者,即初始入侵点。 |
| 内部的资产或受害者。若带有 |
| 外部的攻击者(非 C2),如扫描器、暴力破解源等。 |
| 外部的恶意 C2 服务器(Command & Control),关联域名,用于远程控制受害主机。 |
图标,则表示该资产已失陷。
实体视图
实体视图展示与当前事件关联的所有实体列表,支持以下操作:
筛选与搜索:在筛选栏中,可按来源、IP地址、域名、实体值等条件对实体进行筛选或搜索。
查看威胁情报:单击目标实体的实体值,可查看该实体在阿里云威胁情报中的相关信息。
加白操作:单击目标实体操作列的加白,可将该实体加入白名单。加白成功后,系统将不再生成该实体相关的告警。
告警视图
告警视图展示与当前事件关联的所有告警列表,支持以下操作:
图标,可查看 AI 生成的告警分析内容及对应的防御建议。处置与更新事件状态
在事件详情面板中,可根据分析结果对事件进行状态更新或处置操作,以支持后续跟踪与管理:
通过加白操作处置事件:单击右上角推荐处置或左下角一键处置按钮,进入推荐处置页面。在该页面中,单击目标实体操作列的加白,可将该实体加入白名单。加白成功后,系统将不再生成该实体相关的告警。
更新事件状态:单击右上角状态区域的
图标,可将事件状态修改为处理中或已处理。
上述操作也可在事件中心的事件列表页完成。在事件列表中,单击目标事件操作列的推荐处置或更新事件状态,可实现相同的处置与状态更新功能。
威胁分析概览
威胁分析是Agentic NDR产品的核心能力,基于阿里云自研的入侵检测、威胁情报、行为分析及安全沙箱等检测引擎,可为企业用户提供全流量的攻击检测与威胁分析能力,并提供告警数据的统计、聚合分析、关联分析能力。
同时Agentic NDR产品还可以对网络流量中传输的文件进行还原和风险分析,针对可疑风险文件进行告警并提供样本数据供用户分析。
告警分析
在左侧导航栏,选择检测。
在告警页签,查看当前的失陷数量与告警总数,了解每种告警的发现时间与嫌疑者、受害者的访问关系。
可以按照多个筛选条件查询指定范围的告警分析数据,并通过告警名称、攻击者IP、受害者IP进行分组聚合统计,攻击者IP与受害者IP之间存在级联关系。通过特定的攻击者IP,可以关联到相应的受害者IP,反之亦然。选择某一攻击者IP或受害者IP时,下方区域的告警数据信息将实时更新,单击受害者IP地址,可在对话框查看具体的资产详情。
告警详细信息
告警详情包含告警基本信息、告警详细日志、相关报文列表、及关联告警信息及ATT&CK技术信息五个模块为您多维度深入剖析当前告警事件,帮助您快速研判和处置告警事件。
AI告警解释
进入详情页面后,针对该条告警信息,将通过安全AI助手自动生成并展示以下告警解释:
告警解释 | 说明 |
告警总结 | 对告警信息进行概述,包括攻击者、受害者、告警名称、检测引擎等基本信息,并概括攻击意图。 |
Payload内容分析 | 对检出的Payload进行解释,包括内容解释,攻击手法,可能造成的威胁等。 |
攻击结果分析 | 对引擎攻击结果进行解释。当引擎标记攻击结果为尝试时,由大模型根据请求/响应报文,研判攻击结果。 |
威胁情报 | 在威胁情报中查询攻击者IP以及Payload中出现的域名和IP,并解释威胁情报信息。 |
关联告警分析 | 对攻击者和受害者在48小时内的相关告警进行概括,分析攻击意图、处于攻击阶段等。 |
攻击者IP威胁分析 | 概括攻击IP近一天的告警触发情况,从攻击次数、时间、攻击结果、受害资产等的分布,分析攻击者IP威胁态势情况。 |
防御建议 | 结合告警内容、告警分析解读,从日志排查、应用排查、访问控制等方面给出防御建议。 |
基本信息
在基本信息区域,显示该告警可能相关的CVE信息,单击查看CVE信息,将访问阿里云漏洞库以获取该漏洞的披露与分析信息,并了解该漏洞的影响范围及相应的升级解决方案。同时您也可在该区域查看攻击时间、告警次数、告警时间及告警名称等详细信息。
相关告警列表
在相关告警列表区域,查看告警信息。单击原始数据列中的payload,对告警Payload关键信息进行深入分析,其中命中告警规则的部分会高亮显示。单击Payload右下方提供的解码工具,将原始流量中的负载部分通过不同方式进行解码,Agentic NDR解码工具支持按照ASCII/UTF-8/十六进制等多种方式进行解码。
单击AI分析列的
,针对该条告警信息,将通过安全AI助手自动生成并展示告警解释,全面提升告警可读性与响应效率。单击操作列的报文分析,弹出在线解析PCAP页面查看报文分析,具体信息,请参见报文分析管理。
单击操作列的报文检索,跳转至攻击取证页面,根据流量五元组信息检索与告警相关的原始报文,并可下载相关报文的PCAP文件做进一步分析。
相关协议日志
在相关协议日志区域,查看日志概览。单击查看协议日志详情,跳转到协议日志分析中进一步溯源告警问题。
相关报文
在相关报文区域,可进行如下操作:
报文分析:在弹出的在线解析PCAP页面查看报文分析,具体信息,请参见报文分析管理。
报文检索详情:按照源IP地址与目的IP地址二元组跳转至风险页面,检索该告警相关的原始报文。
生成PCAP:下载原始报文的PCAP文件。
关联告警时间线
在关联告警时间线区域,按照时间轴分析该告警发生前后同一嫌疑者IP与受害者IP命中的多个告警,可以研究特定告警是否与其他事件在时间上的联系,帮助理解攻击者的行为模式。点击相关告警卡片中的告警名称,即可在新页面中查看详细的告警信息。
ATT&CK技术信息
在ATT&CK技术信息区域,可查看该类攻击基础的详细分析内容。
ATT&CK Matrix
在ATT&CK Matrix页签,Agentic NDR还提供基于ATT&CK标签分析告警的能力。
在该页签中,我们将为您统计不同的攻击技术告警,高亮显示存在告警的项,并且默认透出在上面,方便用户查看。单击告警项的数字,可以通过ATT&CK技术信息气泡框查看具体信息。如需查看具体的告警信息,请单击点击查看具体告警信息,将跳转至告警页签以获取详细告警信息。
配置告警白名单
Agentic NDR威胁分析提供告警白名单功能,告警白名单模块允许对特定类型的告警进行标记,以确认这些告警为安全,或已完成必要的确认程序,不需要重复处理。通过建立白名单有效的管理告警的优先级。
云安全中心相关扫描器的IP地址已默认设置为屏蔽,且不产生告警。
在左侧导航栏,选择检测。
在告警白名单页签,单击创建规则。
在告警规则过滤面板,配置相关字段。
单击确认。
试用期间告警日志支持最大保留时间为90天,超过阈值的告警日志按照最早时间覆盖。