更新时间:2023-06-01
白名单管理是一种管理告警的方法,旨在识别和排除不重要的告警。白名单通常是一个维护的列表,其中包含被认为不需要任何操作的告警。在接收到告警时,如果告警被识别为在白名单中,则该告警将被忽略,不会导致任何响应。如果告警白名单得到了正确维护,则可以确保对重要告警进行响应,避免因不重要告警而忽略重要告警的情况。但是告警白名单管理也有一些挑战,例如维护白名单的正确性和合适性、确保白名单不被滥用等。因此,告警白名单管理需要经过认真规划和管理,以确保其安全性和有效性。
白名单管理支持多个加白指标结合使用,多个加白指标之间为与关系,白名单规则主要包括规则名称、指标内容、加白时长、创建人、创建时间以及启用状态等自定义规则关键信息;其中加白指标包括五元组、URL、MD5、进程名称、用户、攻击结果、ATT&CK技术以及规则ID等。
例如业务测试主机地址为192.168.81.99,对与业务测试主机的所有告警均不关注。需要对目的地址192.168.81.99的所有告警进行加白。
步骤一:检测响应-白名单管理导航栏,点击“新增”按钮,根据上述描述的需求填写白名单规则属性,告警类型为全部,规则名称为业务测试主机192.168.81.99告警加白,生效主机为192.168.81.99,加白时长为永久。点击“确定”即可成功新增白名单规则。
点击检测响应->安全告警分析导航栏,过滤条件为加白状态为已加白,目的地址为192.168.81.99,匹配上白名单之后的安全告警处置状态自动调整为处置完成。
如发现某条白名单过期或者不符合业务需求,应立即将对应的告警白名单移除或者禁用。勾选对应的规则名称,点击删除或者禁用,对应告警白名单则失效。