文档首页/ 主机安全服务 HSS/ 用户指南/ 检测与响应/ 白名单管理/ 管理告警白名单
更新时间:2024-08-08 GMT+08:00
查看PDF
分享

管理告警白名单

白名单管理提供告警白名单的展示与删除功能,用户可以通过配置告警白名单避免大量告警误报的发生,提升安全事件告警质量。

告警白名单用于忽略告警,把当前告警事件加入告警白名单后,当再次发生相同的告警时不再进行告警。

“安全告警事件”页面处理告警事件时,如果告警为误报,您可以将告警加入告警白名单。告警加入白名单后,后续主机安全平台不会再对该事件进行告警。

添加告警白名单

处理告警事件时,处理方式选择“加入告警白名单”,详细操作请参见处理主机告警事件

查看告警白名单

加入告警白名单后,您可以查看已添加的告警白名单,操作步骤如下所示。

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择“安全与合规 > 主机安全服务”,进入主机安全平台界面。
  3. 在左侧导航树中,选择检测与响应 > 白名单管理,进入“白名单管理”页面。

    如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。

  4. 选择“告警白名单”页签,查看已添加的告警白名单列表,参数说明如表 告警白名单列表参数说明所示。

    图1 告警白名单列表
    表1 告警白名单列表参数说明

    参数名称

    参数说明

    告警类型

    白名单的告警类型名称。

    加白字段

    加白的目标文件字段。

    通配符

    加白的规则用到的逻辑,相等或包含。

    描述

    目标白名单的说明。

    加白的规则

    加白规则ID。

    标记时间

    目标告警添加白名单的时间。

    企业项目

    所属目标企业项目。

    今日触发次数

    今日符合白名单条件的告警事件触发次数。

    累计触发次数

    累计符合白名单条件的告警事件触发次数。默认不展示。

删除告警白名单

如果您需要删除已添加的告警白名单,您可以进入告警白名单列表,选择待删除的告警白名单,单击“删除”,删除告警白名单。

  • 删除告警白名单后,如果再次发生该告警事件,将触发告警,删除操作执行后无法恢复,请谨慎操作!
  • 删除告警白名单时,勾选“是否恢复关联告警”,才会联动更新该白名单关联所有告警事件的处置状态。
父主题: 白名单管理

相关文档