可扩展的检测与响应平台XDR(分布式)

深信服 XDR 是一种安全威胁检测和事件响应平台,通过原生的流量采集工具与端点采集工具将关键数据聚合在 XDR 平台,通过 E+N 聚合分析引擎、上下文关联分析,实现攻击链深度溯源,结合 MDR 服务提供托管式安全检测与响应服务,释放人员精力。同时具备可扩展的接口开放性,协同 SOAR 等产品,化繁为简,带来深度检测、精准响应、持续生长的安全效果体验。
点击可切换产品版本
知道了
不再提醒
2.0.20
{{sendMatomoQuery("可扩展的检测与响应平台XDR(分布式)","白名单管理")}}

白名单管理

更新时间:2023-06-01

白名单管理是一种管理告警的方法,旨在识别和排除不重要的告警。白名单通常是一个维护的列表,其中包含被认为不需要任何操作的告警。在接收到告警时,如果告警被识别为在白名单中,则该告警将被忽略,不会导致任何响应。如果告警白名单得到了正确维护,则可以确保对重要告警进行响应,避免因不重要告警而忽略重要告警的情况。但是告警白名单管理也有一些挑战,例如维护白名单的正确性和合适性、确保白名单不被滥用等。因此,告警白名单管理需要经过认真规划和管理,以确保其安全性和有效性

白名单管理支持多个加白指标结合使用,多个加白指标之间为与关系,白名单规则主要包括规则名称、指标内容、加白时长、创建人、创建时间以及启用状态等自定义规则关键信息;其中加白指标包括五元组、URL、MD5、进程名称、用户、攻击结果、ATT&CK技术以及规则ID等。

 

例如业务测试主机地址为192.168.81.99,对与业务测试主机的所有告警均不关注。需要对目的地址192.168.81.99的所有告警进行加白。

步骤一:检测响应-白名单管理导航栏,点击“新增”按钮,根据上述描述的需求填写白名单规则属性,告警类型为全部,规则名称为业务测试主机192.168.81.99告警加白,生效主机为192.168.81.99,加白时长为永久。点击“确定”即可成功新增白名单规则。

点击检测响应->安全告警分析导航栏,过滤条件为加白状态为已加白,目的地址为192.168.81.99,匹配上白名单之后的安全告警处置状态自动调整为处置完成。

 

如发现某条白名单过期或者不符合业务需求,应立即将对应的告警白名单移除或者禁用。勾选对应的规则名称,点击删除或者禁用,对应告警白名单则失效。