告警是運維中的一種異常信號的通知，通常是由監控系統或安全設備在檢測到系統或網絡中的異常情況時自動生成的。例如，當服務器的CPU使用率超過90%時，系統可能會發出告警。這些異常情況可能包括系統故障、安全威脅或性能瓶頸等。

告警通常有明確的指示性，能夠明確指出異常發生的位置、類型和影響。同時，告警可以按照嚴重程度來進行分類，如緊急、重要、一般等，以便運維人員根據告警的嚴重程度來決定哪些需要優先處理。

告警的目的是及時通知相關人員，以便能夠迅速響應并采取措施解決問題。

當態勢感知（專業版）檢測到的云資源中存在的異常情況（例如，某個惡意IP對資產攻擊、資產已被入侵等）時，將以告警的形式將威脅信息展示在態勢感知（專業版）告警管理界面中。

告警管理

在態勢感知（專業版）的告警管理頁面可以執行以下操作：

• 查看告警信息：可以通過查看告警列表了解近360天的告警威脅的統計信息列表，列表內容包括告警事件的名稱、類型、等級和發生時間等。并可通過自定義過濾條件，如告警名稱、告警等級和發生時間等，快速查詢到相應告警事件的統計信息。

• 告警轉事件或關聯事件：當收到告警信息且經過分析后，如果發現有攻擊成功或有其他較為嚴重影響的，則需要進行單獨處理，可以將它轉為事件或關聯事件。

• 一鍵阻斷或解封：策略作為告警一鍵阻斷的止血手段，可根據告警來源選擇相應的類型對攻擊者進行阻斷，攔截該惡意IP的訪問。

• 關閉或刪除告警：支持關閉或刪除告警，告警刪除后將無法恢復，請謹慎操作。

• 新增或編輯告警：支持新增告警，或者編輯告警參數。

• 導入或導出告警：支持導入或導出告警。

告警和攻擊的區別

安全告警區分告警和攻擊：

• 告警：告警則是基于態勢感知（專業版）的威脅檢測模型生成的模型告警，也可以是用戶自定義或導入的告警。

• 攻擊：攻擊是原始的防線告警。

攻擊是原始的防線告警。二者的區別如下：

告警的風險等級分類

告警的處置方式說明

告警常見的處置方式有一鍵阻斷或解封、關閉告警、刪除告警、告警轉事件或關聯事件、新增告警、編輯告警、導入導出告警。

攻擊處置方式說明

攻擊是原始告警，支持在態勢感知（專業版）側進行處置，關閉或忽略本次攻擊告警，更多詳細信息請參見處置攻擊。

• 關閉告警：如果告警已手動處理完畢，可以選擇關閉本次告警。

• 忽略告警：如果告警風險可控，可以選擇忽略本次告警。當相同告警事件再次觸發時，將再次告警。

約束與限制

• 刪除告警：僅用戶自定義新增的告警或導入的告警支持刪除操作。

• 導入告警：僅支持導入.xlsx格式的文件，單次導入文件大小不超過5MB，且單次導入數據不超過100條。

• 導出告警：最多支持導出9999條告警信息。

• 一鍵阻斷或解封：約束與限制請參見約束與限制。