更新时间:2022-07-28 GMT+08:00
配置告警白名单
白名单管理提供告警白名单的展示与批量导入/导出功能,用户可以通过导入/导出告警白名单避免大量告警误报的发生,提升安全事件告警质量。
告警白名单用于忽略告警,把当前告警事件加入告警白名单后,当再次发生相同的告警时不再进行告警。
在“事件管理”页面处理告警事件时,如果告警为误报,您可以将告警加入告警白名单。告警加入白名单后,后续企业主机安全不会再对该事件进行告警,“总览”页面也不会对该告警事件统计数据。
添加告警白名单
添加方式 |
说明 |
---|---|
加入告警白名单 |
处理告警事件时,将告警事件加入到告警白名单,详细信息请参见查看和处理入侵告警事件。 以下类型的告警事件加入“告警白名单”:
|
导入告警白名单 |
在“告警白名单”页面,导入告警白名单列表。 |
查看告警白名单
加入告警白名单后,您可以查看已添加的告警白名单,操作步骤如下所示。
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择 ,进入企业主机安全页面。
- 进入“白名单管理”页面,单击“告警白名单”,查看已添加的告警白名单列表,如图1所示。
导入/导出告警白名单
导入和导出告警白名单功能用来备份和恢复告警白名单。
- 导出为“.csv”格式的告警白名单。
- 如果需要手动修改导出的“.csv”表格,请按照格式要求修改(不能使用excel打开修改,否则,会导致导入失败)。
格式要求:
告警类型,SHA256,cmdLine,数据来源,标记时间 "webshell","66baecfe7208c00e139b898509626ee4d2ea81382ef15a4283b95d50f669b121","--","文件导入","2020/02/28 07:32:44 GMT+08:00"
- 告警白名单支持增量导入,相同的记录多次导入不会增加。
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择 ,进入企业主机安全页面。
- 进入“白名单管理”页面,选择“告警白名单”,如图2所示。
- 单击“全部导出”,将当前告警白名单列表导出,导出为“.csv”格式表格。
- 单击“导入”,选择已导出的告警白名单表,将表中记录的内容重新导入告警白名单。
在弹出的对话框中,单击“上传文件”,选择待上传的文件,导入告警白名单。导入成功后,告警白名单展示在告警白名单列表中。
- 文件格式仅限csv、txt、UTF-8编码。
- 文件大小不超过5MB。
- 文件名格式为:1-64位字符,只能包含字母、数字、下划线、中划线或者点。
相关操作
删除告警白名单
若您需要删除已添加的告警白名单,您可以进入告警白名单列表,选择待删除的告警白名单,单击“删除”,删除告警白名单。
删除告警白名单后,若发生再次发生该告警事件,将触发告警,删除操作执行后无法恢复,请谨慎操作。
父主题: 入侵检测