天翼云企业主机安全入侵检测 - 管理告警白名单
文档简介:
此小节介绍企业主机安全白名单告警管理。
白名单管理提供告警白名单的展示与删除功能,用户可以通过配置告警白名单避免大量告警误报的发生,提升安全事件告警质量。
告警白名单用于忽略告警,把当前告警事件加入告警白名单后,当再次发生相同的告警时不再进行告警。
咨询热线:400-826-7010,为您提供专业的售前咨询,让您快速了解云产品,助您轻松上云!
微信咨询
免费试用、价格特惠
白名单管理提供告警白名单的展示与删除功能,用户可以通过配置告警白名单避免大量告警误报的发生,提升安全事件告警质量。
告警白名单用于忽略告警,把当前告警事件加入告警白名单后,当再次发生相同的告警时不再进行告警。
在“安全告警事件”页面处理告警事件时,如果告警为误报,您可以将告警加入告警白名单。告警加入白名单后,后续主机安全平台不会再对该事件进行告警和统计。
约束限制
需开启旗舰版、网页防篡改版、容器版任一防护版本。
添加告警白名单
表- 添加告警白名单
| 添加方式 | 说明 |
|---|---|
| 加入告警白名单 | 处理告警事件时,将告警事件加入到告警白名单。 以下类型的告警事件加入“告警白名单”: l 反弹Shell l 勒索软件 l 恶意程序 l Webshell l 进程异常行为 l 进程提权 l 文件提权 l 高危命令执行 l 恶意软件 l 关键文件变更 l 文件/目录变更 l 异常Shell l Crontab可疑任务 l 非法系统帐号 l 一般漏洞利用 |
查看告警白名单
加入告警白名单后,您可以查看已添加的告警白名单,操作步骤如下所示。
1、登录管理控制台。
2、在页面左上角单击 ,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3、在弹窗界面单击“体验新版”,切换至主机安全服务页面。
说明:
切换至新版后,在总览页左上角单击“返回旧版”,可切换至主机安全(旧版)。
4、在左侧导航树中,选择“入侵检测 > 白名单管理”,进入“白名单管理”页面。
5、选择“告警白名单”页签,查看已添加的告警白名单列表,参数说明如表7-9所示。
表- 告警白名单列表参数说明
| 参数名称 | 参数说明 |
|---|---|
| 告警类型 | 白名单的告警类型名称。 |
| SHA256 | 目标文件哈希。 |
| 路径 | 服务器文件路径。 |
| 数据来源 | 目标白名单的来源方式。 |
相关操作
删除告警白名单
若您需要删除已添加的告警白名单,您可以进入告警白名单列表,选择待删除的告警白名单,单击“删除”,删除告警白名单。
说明:
删除告警白名单后,若发生再次发生该告警事件,将触发告警,删除操作执行后无法恢复,请谨慎操作。
