登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

06-配置中心

目录

10-白名单配置

本章节下载 10-白名单配置  (109.03 KB)

10-白名单配置

白名单配置

当用户通过查看安全事件发现存在误报的情况时,可配置白名单功能,将某类安全事件加入白名单,系统将不展示该类事件,降低误报率。配置白名单后,系统将对关联规则或UEBA规则输出的安全事件进行白名单匹配,匹配上白名单的事件不会再安全事件页面展示,未匹配白名单的事件则进行分析和丰富,并在安全事件页面展示。有关关联规则和UEBA规则的介绍请参见配置中心 > 关联规则配置中心 > UEBA规则

白名单启用规则如下:

·            启用白名单后,对采集器上报的事件先进行关联规则或UEBA规则匹配,再进行白名单匹配,若匹配白名单成功系统将不展示事件;停用或删除该白名单后,系统将重新展示该事件。

·            启用白名单后,已经展示事件也会做白名单匹配,若匹配成功则不再展示该事件,但不会从系统中删除该事件数据;停用或删除该白名单后,该事件将会重新展示。

本章包含如下内容:

·            新增/编辑白名单

·            删除白名单

新增/编辑白名单

该功能用于新增或修改白名单信息。建议通过安全事件的白名单图标新增白名单,各参数字段将自动关联,不需要手动配置。 用户可根据实际情况选择安全事件进行过滤。

操作步骤

1.        选择配置中心 > 白名单配置进入白名单配置页面。

2.        单击<新增>按钮可新增一条白名单;单击按钮可修改选中白名单的配置信息。

3.        进入新增或编辑白名单配置页面,配置相关参数后单击<确认>按钮完操作。

4.        对于已配置的白名单可通过<启用><停用>按钮改变其运行状态。

参数说明

·            策略名称:白名单的唯一标识,不能重复。

·            攻击名称:安全事件对应的攻击名称。

·            事件等级:安全事件的威胁等级(可多选),匹配该等级的事件将不在安全事件页面进行展示。

·            确信度:安全事件的可信程度(可多选),匹配该确信度的事件将不在安全事件页面进行展示。

·            IP:安全事件的源IP地址,匹配该源IP的事件将不在安全事件页面进行展示。

·            目的IP:安全事件的目的IP地址,匹配该目的IP的事件将不在安全事件页面进行展示。

·            情报IOC:通过情报类型的关联规则输出的安全事件,将用情报中的域名、IP地址或MD5值作为该安全事件的情报IOC。对于匹配该情报IOC的事件将不在安全事件页面进行展示。

·            规则名称:可选择关联规则和和UEBA规则(可多选),配置规则名称后,命中该关联规则或UEBA规则的事件将不在安全事件页面进行展示。

·            启用状态:选择是否启用该白名单。

注意事项

·            添加漏洞扫描系统类型的资产成功后,系统将自动生成一个名为漏扫设备+IP(如漏扫设备192.168.0.1”)的白名单,避免系统将漏扫设备的正常扫描行为误报为安全事件。该类白名单不能手动删除或修改,但可通过删除对应的资产进行关联删除。

·            资产探针注册成功后,系统将自动生成一个名为资产探针+IP(如资产探针192.168.0.1”)的白名单,避免系统将探针的正常扫描行为误报为安全事件。该类白名单不能手动删除或修改,但可通过删除对应的资产探针进行关联删除。

·            当规则名称中包含如下规则时,源IP参数将失效:外网拒绝服务攻击、内网弱口令登录、主机配置风险、外网扫描侦测、外网暴力破解、外网扫描探测攻击、外网协议暴力破解、外网应用暴力破解、外网拒绝服务。

·            当规则名称中包含如下规则时,目的IP参数将失效:内网漏洞利用攻击、内网暴力破解、内网畸形报文攻击、内网扫描攻击、内网访问风险主机、内网扫描侦测、恶意主机外联、恶意域名事件、恶意URL事件、恶意DGA域名通信、恶意DNS隧道通信、内网协议暴力破解、内网应用暴力破解、对外协议暴力破解、内网拒绝服务。其中,恶意DGA域名通信、恶意DNS隧道通信规则仅安全威胁发现与运维管理平台增强版支持。

·            当规则名称中包含如下规则时,情报IOC参数将失效:恶意DGA域名通信、恶意DNS隧道通信、内网口令爆破、内网DOS攻击、内网渗透、内网探测、内网端口扫描、内网Web漏洞爆破、内网Web扫描、对外暴力破解、对外拒绝服务攻击、对外端口扫描、对外Web漏洞爆破、对外Web扫描和知识大脑推理攻击。其中,恶意DGA域名通信、恶意DNS隧道通信规则仅安全威胁发现与运维管理平台增强版支持。

删除白名单

该功能用于删除白名单信息。

操作步骤

1.        选择配置中心 > 白名单配置进入白名单配置页面。

2.        选择一条或多条白名单,单击<删除>按钮批量删除白名单;单击按钮可删除选中白名单。

注意事项

·            名称为漏扫设备+IP(如漏扫设备192.168.0.1”)的白名单不能手动删除或修改,只能停用或启用。 删除该白名单对应的资产后,系统将自动删除该白名单。有关资产的详细介绍请参见资产中心 > 资产配置

·            名称为资产探针+IP(如资产探针192.168.0.1”)的白名单不能手动删除或修改,只能停用或启用。 删除该白名单对应的资产探针后,系统将自动删除该白名单。有关资产探针的详细介绍请参见资产中心 > 资产探针

·            若白名单中规则名称字段引用的关联规则和UEBA规则均被删除,那么,该白名单也将被同步删除。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们