文档首页 > > 用户指南> 入侵检测>

配置告警白名单

配置告警白名单

分享
更新时间:2021/01/05 GMT+08:00

白名单管理提供告警白名单的展示与批量导入/导出功能,用户可以通过导入/导出告警白名单避免大量告警误报的发生,提升安全事件告警质量。

告警白名单用于忽略告警,把当前告警事件加入告警白名单后,当再次发生相同的告警时不再进行告警。

“事件管理”页面处理告警事件时,如果告警为误报,您可以将告警加入告警白名单。告警加入白名单后,后续企业主机安全不会再对该事件进行告警,“总览”页面也不会对该告警事件统计数据。

仅企业版、旗舰版支持白名单管理,网页防篡改版赠送旗舰版,包含旗舰版所有功能。

添加告警白名单

表1 添加告警白名单

添加方式

说明

加入告警白名单

处理告警事件时,将告警事件加入到告警白名单,详细信息请参见查看和处理入侵告警事件

以下类型的告警事件加入“告警白名单”

  • 反弹Shell
  • Webshell检测
  • 进程异常行为检测
  • 进程提权
  • 文件提权
  • 高危命令
  • 恶意程序

导入告警白名单

“告警白名单”页面,导入告警白名单列表。

查看告警白名单

加入告警白名单后,您可以查看已添加的告警白名单,操作步骤如下所示。

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择安全 > 企业主机安全,进入企业主机安全页面。

    图1 企业主机安全

  3. 进入“白名单管理”页面,单击“告警白名单”,查看已添加的告警白名单列表,如图2所示。

    图2 告警白名单列表

导入/导出告警白名单

导入和导出告警白名单功能用来备份和恢复告警白名单。

例如:“华北-北京一”环境下添加的告警白名单,可以通过导出告警白名单,导入到“华北-北京四”环境的服务器上,减少运维人员的工作量。

  • 导出为“.csv”格式的告警白名单。
  • 如果需要手动修改导出的“.csv”表格,请按照格式要求修改(不能使用excel打开修改,否则,会导致导入失败)。

    格式要求:

    告警类型,SHA256,cmdLine,数据来源,标记时间
    "webshell","66baecfe7208c00e139b898509626ee4d2ea81382ef15a4283b95d50f669b121","--","文件导入","2020/02/28 07:32:44 GMT+08:00"
  • 告警白名单支持增量导入,相同的记录多次导入不会增加。
  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择安全 > 企业主机安全,进入企业主机安全页面。

    图3 企业主机安全

  3. 进入“白名单管理”页面,选择“告警白名单”,如图4所示。

    图4 选择告警白名单
    • 单击“全部导出”,将当前告警白名单列表导出,导出为“.csv”格式表格。
    • 单击“导入”,选择已导出的告警白名单表,将表中记录的内容重新导入告警白名单。
      在弹出的对话框中,单击“上传文件”,选择待上传的文件,导入告警白名单。导入成功后,告警白名单展示在告警白名单列表中。
      • 文件格式仅限csv、txt、UTF-8编码。
      • 文件大小不超过5MB。
      • 文件名格式为:1-64位字符,只能包含字母、数字、下划线、中划线或者点。

相关操作

删除告警白名单

若您需要删除已添加的告警白名单,您可以进入告警白名单列表,选择待删除的告警白名单,单击“删除”,删除告警白名单。

删除告警白名单后,若发生再次发生该告警事件,将触发告警,删除操作执行后无法恢复,请谨慎操作。

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!非常感谢您的反馈,我们会继续努力做到更好!
反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区论坛频道来与我们联系探讨

智能客服提问云社区提问