最近更新时间:2022-01-21
当您通过查看安全事件发现存在误报的情况时,可配置白名单功能,将某类安全事件加入白名单,系统将不再上报该类事件,降低误报率。配置白名单后,系统将对关联规则输出的安全事件进行白名单匹配,匹配上白名单的事件会将被丢弃,未匹配白名单的事件则进行分析和丰富,并在安全事件页面展示。
白名单启用规则如下:
启用白名单后,对采集器上报的事件先进行关联规则规则匹配,再进行白名单匹配,若匹配白名单成功系统将丢弃事件数据;停用或删除该白名单后,被丢弃的事件不会再恢复。
启用白名单后,已经展示事件也会做白名单匹配,若匹配成功则不再展示该事件,但不会从系统中删除该事件数据;停用或删除该白名单后,该事件将会重新展示。
新增一个白名单策略后,若不配置任何参数,则所有的安全事件都会被过滤。
1. 选择“态势感知 > 概览”。
2. 在概览页面,点击“登录系统”,登录态势感知平台。
3. 选择“配置中心 > 白名单配置”进入白名单配置页面。
4. 单击“新增”,可新增一条白名单。通过本页面,还可以完成白名单的修改,删除、启用、停用等操作。