当确认发现入侵行为后，安全工程师的首要任务是解决以下问题：入侵者是从哪里进入的？入侵发生了多久？入侵者的完整攻击路径与操作是什么？
告警调查功能是解决上述问题的高效工具，通过自研存储层实现PB级原始数据的秒级查询。当产生安全告警后，调查溯源引擎会将告警与原始数据自动化关联，对疑似入侵检测行为进行自动化上下文关联，形成安全攻击图谱，实现清晰详尽的可视化调查溯源，帮助企业快速摸清攻击路径，掌握入侵影响范围。
本文介绍如何调查告警。

前提条件

您的主机资产已经接入云安全中心，关于接入的具体操作，请参见安装客户端。
已经产生安全告警。

操作步骤

1. 登录云安全中心控制台。
2. 在页面左侧选择入侵防御＞安全告警。
3. 在告警列表或详情中单击调查按钮。

页面说明

安全攻击图谱

安全攻击图谱支持对疑似入侵行为进行自动化上下文关联，并通过安全攻击图谱进行可视化展示，可对主机和容器内的进程、文件、网络、DNS解析和登录行为进行存储与溯源。