2.4. Chi tiết cảnh báo

Modified on Mon, 3 Nov, 2025 at 12:00 PM

Xem thông tin chi tiết một Alert

VCS - CyCir đồng bộ cảnh báo từ nhiều nguồn cấp. Mỗi cảnh báo chứa những thông tin đặc thù theo với từng loại mối nguy hại và có thể đi kèm với danh sách Event. Toàn bộ thông tin này được hiển thị trên màn hình thông tin chi tiết của cảnh báo giúp nhân viên vận hành có thể đánh giá, phát hiện mối nguy hại và xử lý cảnh báo theo những kịch bản tương ứng.

Để truy cập màn hình thông tin chi tiết của 1 alert, double-click vào 1 alert bất kỳ trên danh sách alert tại màn hình Alert monitoring. Các thông tin của cảnh báo được chia làm từng section:

Thông tinh định danh của cảnh báo

Thanh nội dung trên cùng hiển thị những thông tin định danh quan trọng của một cảnh báo.

  • ALERT_ID: Mã định danh duy nhất của cảnh báo
  • STATUS: Trạng thái của cảnh báo gồm Close (Đã xử lý) và Open (Chưa xử lý)
  • CATEGORY: Loại cảnh báo. Trong quá trình đồng bộ, VCS - CyCir tự động xác định và mapping cảnh báo vào các loại do VCS - CyCir định nghĩa
  • CREATED TIME: Thời gian phát sinh cảnh báo
  • LINKED CASE: Thông tin này sẽ chỉ xuất hiện trên các cảnh báo đã được nhóm lên case. Bạn có thể nhấn vào case_id (Dạng text link) để mở màn hình case trên một tab mới.
  • SEVERITY: Mức độ nghiêm trọng của cảnh báo, gồm 4 loại: Critical - High - Medium - Low
  • SLA: Thời gian còn lại để xử lý cảnh báo.
  • ENTITY: Là kết quả của step Entity extraction trong quá trình tạo Data feed đồng bộ cảnh báo. Hiển thị danh sách các giá trị thực thể được phân tách ra từ cảnh báo gồm:
    • Giá trị thực thể
    • Icon: mô tả loại thực thể
Favorite Information

Một số thông tin chính của cảnh báo được VCS - CyCir hiển thị trên mục Favorite Information. Tùy theo từng loại cảnh báo sẽ có những thông tin nổi bật khác nhau, điều này giúp cho bạn có thể nắm bắt nhanh nội dung cảnh báo. Thông tin đầy đủ của cảnh báo sẽ được hiển thị tại tab General.

File Attachments
  • Với mỗi Alert, tại màn hình Alert detail mục File Attachment, SOAR cho phép người dùng upload file từ local với các thao tác sau:
  • Bước 1: Người dùng click chọn browse để attach file
  • Bước 2: Chọn file từ các folder trên local để attach (lưu ý dung lượng file không được quá 100mb)
  • Bước 3: Click Open. File được chọn sẽ hiển thị trên vùng attach của Alert
Playbook

Cảnh báo có thể được xử lý bởi con người hoặc tự động bởi Playbook. Tại section Playbook, bạn có thể xem được danh sách các Playbook đang xử lý tự động cho cảnh báo hoặc có thể nhấn vào nút Add a new playbook để lựa chọn và chạy playbook cho cảnh báo

Event

Định nghĩa: Event là các thông tin đánh dấu một hoạt động hoặc sự kiện cụ thể trên một hệ thống hoặc thiết bị được ghi lại bởi hệ thống an ninh mạng và được đồng bộ về SOAR cùng với cảnh báo. Một cảnh báo có thể có danh sách event đi kèm, các thông tin này sẽ được hiển thị tại tab Event. Bạn có thể xem chi tiết Event bằng cách nhấn đúp vào bản ghi Event muốn xem

Vận hành, xử lý cảnh báo

VCS - CyCir cung cấp hai hướng xử lý cảnh báo:

  • Set false positive: khi cảnh báo được xác định là an toàn, cảnh báo giả
  • Escalate to case: khi cảnh báo được xác định là độc hoặc trong trạng thái nghi ngờ là độc. Những cảnh báo này sẽ được đẩy lên case để xử lý tập trung theo từng mối nguy hại. Escalate to case chia làm hai hình thức:
    • Escalate to new case: Đưa cảnh báo vào một sự vụ mới khi không có sự vụ nào khác tương đồng với alert đang xử lý
    • Link to existing case: Đưa cảnh báo vào một sự vụ đã tồn tại nếu cảnh báo đó thuộc cùng mối nguy hại mà case đó đang xử lý

Lưu ý:

  • Chỉ cho phép thực hiện set False Positive đối với alert đang ở trạng thái Open
  • Sau khi xử lý, Alert sẽ được chuyển trạng thái xử lý thành Closed và cập nhật tình trạng SLA thành On-time (Nếu cảnh báo được xử lý đúng hạn) hoặc Overdue (Nếu cảnh báo xử lý quá hạn)
Set alert false positive
  • Bước 1: Nhấn vào nút Set False Positive
  • Bước 2: Tại trường Reason: Nhập lí do dẫn tới quyền định set false positive
  • Bước 3: Nhấn nút Set False Positive để xác nhận hoặc nhấn nút Cancel để hủy bỏ thao tác
Escalate to new case
  • Bước 1: Nhấn nút Escalate To Case. Màn hình New case hiển thị với form định nghĩa nội dung của Case bao gồm: Title, Type, Severity, Owner, Description, Tag. Nội dung form sẽ được hệ thống tự động điền sẵn theo thông tin của cảnh báo
  • Bước 2: Sửa nội dung form nếu cần thiết
  • Bước 4: Nhấn nút Create new case để lưu dữ liệu hoặc nhấn Cancel để hủy bỏ việc Escalate to Case
Link to existing case
  • Bước 1: Nhấn nút Escalate To Case.
  • Bước 2: Nhấn lựa chọn tab Link to Existing Case. Màn hình Link to existing case sẽ hiển thị danh sách case gợi ý là các case được tạo ra từ các alerts tương đồng hoặc những case có chứa indicator là object của alert (Alerts tương đồng là những alert có cùng rule_id và object trong 7 ngày gần nhất)
  • Bước 3: Click chọn case muốn gán cho alert (có thể tìm kiếm case muốn gán)
  • Bước 4: Nhấn nút Link để gán alert vào case hoặc nhấn Cancel để hủy bỏ thao tác.

Xem lịch sử vận hành cảnh báo

VCS - CyCir cung cấp nhật kí cập nhật nội dung của cảnh báo trên tính năng Activity log. Tại đây, nhân viên vận hành có thể xem được các thông tin liên quan đến sự thay đổi của cảnh báo như: Thời gian cập nhật, đối tượng tác động, nội dung thay đổi.

Click Activity Log trên màn hình chi tiết cảnh báo để tùy chỉnh ẩn/hiện thông tin acivity log của cảnh báo đó.

Was this article helpful?

That’s Great!

Thank you for your feedback

Sorry! We couldn't be helpful

Thank you for your feedback

Let us know how can we improve this article!

Select at least one of the reasons
CAPTCHA verification is required.

Feedback sent

We appreciate your effort and will try to fix the article

Preview
0 of 0