更新时间:2022-08-15 GMT+08:00
配置告警白名单
白名单管理提供告警白名单的展示与批量导入/导出功能,用户可以通过导入/导出告警白名单避免大量告警误报的发生,提升安全事件告警质量。
告警白名单用于忽略告警,把当前告警事件加入告警白名单后,当再次发生相同的告警时不再进行告警。
在“事件管理”页面处理告警事件时,如果告警为误报,您可以将告警加入告警白名单。告警加入白名单后,后续企业主机安全不会再对该事件进行告警,“总览”页面也不会对该告警事件统计数据。
仅企业版、旗舰版支持白名单管理,网页防篡改版赠送旗舰版,包含旗舰版所有功能。
添加告警白名单
添加方式 |
说明 |
|---|---|
加入告警白名单 |
处理告警事件时,将告警事件加入到告警白名单,详细信息请参见查看和处理入侵告警事件。 以下类型的告警事件加入“告警白名单”:
|
导入告警白名单 |
在“告警白名单”页面,导入告警白名单列表。 |
查看告警白名单
加入告警白名单后,您可以查看已添加的告警白名单,操作步骤如下所示。
导入/导出告警白名单
导入和导出告警白名单功能用来备份和恢复告警白名单。
例如:“华北-北京一”环境下添加的告警白名单,可以通过导出告警白名单,导入到“华北-北京四”环境的服务器上,减少运维人员的工作量。
- 导出为“.csv”格式的告警白名单。
- 如果需要手动修改导出的“.csv”表格,请按照格式要求修改(不能使用excel打开修改,否则,会导致导入失败)。
格式要求:
告警类型,SHA256,cmdLine,数据来源,标记时间 "webshell","66baecfe7208c00e139b898509626ee4d2ea81382ef15a4283b95d50f669b121","--","文件导入","2020/02/28 07:32:44 GMT+08:00"
- 告警白名单支持增量导入,相同的记录多次导入不会增加。
相关操作
删除告警白名单
若您需要删除已添加的告警白名单,您可以进入告警白名单列表,选择待删除的告警白名单,单击“删除”,删除告警白名单。
删除告警白名单后,若发生再次发生该告警事件,将触发告警,删除操作执行后无法恢复,请谨慎操作。
父主题: 入侵检测
