文档首页> 企业主机安全(旧版)HSS> 用户指南(吉隆坡区域)> 入侵检测> 配置告警白名单
更新时间:2022-08-10 GMT+08:00
查看PDF

配置告警白名单

白名单管理提供告警白名单的展示与批量导入/导出功能,用户可以通过导入/导出告警白名单避免大量告警误报的发生,提升安全事件告警质量。

告警白名单用于忽略告警,把当前告警事件加入告警白名单后,当再次发生相同的告警时不再进行告警。

“事件管理”页面处理告警事件时,如果告警为误报,您可以将告警加入告警白名单。告警加入白名单后,后续企业主机安全不会再对该事件进行告警,“总览”页面也不会对该告警事件统计数据。

添加告警白名单

表1 添加告警白名单

添加方式

说明

加入告警白名单

处理告警事件时,将告警事件加入到告警白名单,详细信息请参见查看和处理入侵告警事件

以下类型的告警事件加入“告警白名单”

  • 反弹Shell
  • Webshell检测
  • 进程异常行为检测
  • 进程提权
  • 文件提权
  • 高危命令
  • 恶意程序

导入告警白名单

“告警白名单”页面,导入告警白名单列表。

查看告警白名单

加入告警白名单后,您可以查看已添加的告警白名单,操作步骤如下所示。

  1. 登录管理控制台。
  2. 在页面左上角选择“区域”,单击,选择安全 > 企业主机安全,进入企业主机安全页面。
  3. 进入“白名单管理”页面,单击“告警白名单”,查看已添加的告警白名单列表。

导入/导出告警白名单

导入和导出告警白名单功能用来备份和恢复告警白名单。

  • 导出为“.csv”格式的告警白名单。
  • 如果需要手动修改导出的“.csv”表格,请按照格式要求修改(不能使用excel打开修改,否则,会导致导入失败)。

    格式要求:

    告警类型,SHA256,cmdLine,数据来源,标记时间
"webshell","66baecfe7208c00e139b898509626ee4d2ea81382ef15a4283b95d50f669b121","--","文件导入","2020/02/28 07:32:44 GMT+08:00"
  • 告警白名单支持增量导入,相同的记录多次导入不会增加。
  1. 登录管理控制台。
  2. 在页面左上角选择“区域”,单击,选择安全 > 企业主机安全,进入企业主机安全页面。
  3. 进入“白名单管理”页面,选择“告警白名单”

    • 单击“全部导出”,将当前告警白名单列表导出,导出为“.csv”格式表格。
    • 单击“导入”,选择已导出的告警白名单表,将表中记录的内容重新导入告警白名单。
      在弹出的对话框中,单击“上传文件”,选择待上传的文件,导入告警白名单。导入成功后,告警白名单展示在告警白名单列表中。
      • 文件格式仅限csv、txt、UTF-8编码。
      • 文件大小不超过5MB。
      • 文件名格式为:1-64位字符,只能包含字母、数字、下划线、中划线或者点。

相关操作

删除告警白名单

若您需要删除已添加的告警白名单,您可以进入告警白名单列表,选择待删除的告警白名单,单击“删除”,删除告警白名单。

删除告警白名单后,若发生再次发生该告警事件,将触发告警,删除操作执行后无法恢复,请谨慎操作。

父主题: 入侵检测