更新时间:2024-04-15 GMT+08:00

管理告警白名单

白名单管理提供告警白名单的展示与删除功能,用户可以通过配置告警白名单避免大量告警误报的发生,提升安全事件告警质量。

告警白名单用于忽略告警,把当前告警事件加入告警白名单后,当再次发生相同的告警时不再进行告警。

“安全告警事件”页面处理告警事件时,如果告警为误报,您可以将告警加入告警白名单。告警加入白名单后,后续主机安全平台不会再对该事件进行告警和统计。

约束限制

需开启旗舰版、网页防篡改版、容器版任一防护版本。

添加告警白名单

表1 添加告警白名单

添加方式

说明

加入告警白名单

处理告警事件时,将告警事件加入到告警白名单

以下类型的告警事件加入“告警白名单”

  • 反弹Shell
  • 勒索软件
  • 恶意程序
  • Webshell
  • 进程异常行为
  • 进程提权
  • 文件提权
  • 高危命令执行
  • 恶意软件
  • 关键文件变更
  • 文件/目录变更
  • 异常Shell
  • Crontab可疑任务
  • 非法系统账号
  • 一般漏洞利用

查看告警白名单

加入告警白名单后,您可以查看已添加的告警白名单,操作步骤如下所示。

  1. 登录管理控制台。
  2. 在页面左上角单击,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
  3. 在左侧导航树中,选择入侵检测 > 白名单管理,进入“白名单管理”页面。
  4. 选择“告警白名单”页签,查看已添加的告警白名单列表,参数说明如表2所示。

    表2 告警白名单列表参数说明

    参数名称

    参数说明

    告警类型

    白名单的告警类型名称。

    SHA256

    目标文件哈希。

相关操作

删除告警白名单

若您需要删除已添加的告警白名单,您可以进入告警白名单列表,选择待删除的告警白名单,单击“删除”,删除告警白名单。

  • 删除告警白名单后,若再次发生该告警事件,将触发告警,删除操作执行后无法恢复,请谨慎操作!
  • 删除告警白名单后,该告警白名单关联的告警事件不会联动更新处置状态,如果需要更改相关告警事件的处置状态,请前往入侵检测 > 安全告警事件页面,在告警事件所在行的操作列单击“处置”,选择“删除告警白名单”。