警报排除
建议更改
PDF
警报排除让您可以抑制特定文件类型、用户和目录路径的警报生成。使用此功能可通过排除可能与警报模式匹配的已知预期活动来减少误报。
请注意,只有事件的警报被抑制;事件本身仍然被捕获,可以被查看。
导航到 Workload Security > Policies,然后选择 Alert Exclusions 选项卡。
警报排除按租户配置,包括以下内容:
-
文件类型:抑制特定 允许的文件类型 上的文件篡改警报
-
用户:抑制由选定用户触发的警报。
-
路径:抑制所选目录路径上活动的警报(从接合路径开始,最多四个目录级别)。
管理排除和审核
-
管理员可以随时添加或删除文件扩展名、单个用户或路径。
-
每个排除条目都记录设置它的管理员的姓名和设置的日期。此信息将被保留以供审计。
用户和路径
-
用户排除列表:添加要从警报中排除的用户。
-
目录排除列表:最多支持四个级别的目录路径,从接合路径开始。
个别用户和目录路径可以添加到相应的排除列表中或从相应的排除列表中删除。每个列表中的每个条目都将包含何时以及由谁添加到列表中的信息,这些信息将用于审计目的。
文件类型
添加到文件类型列表后,将不会为允许的文件类型生成文件篡改攻击警报。请注意,文件类型策略仅适用于文件篡改检测。
例如,如果名为 test.txt 的文件重命名为 test.txt.abc,并且由于 .abc 扩展名,Workload Security 检测到勒索软件攻击,则可以将 .abc 扩展名添加到 allowed file types 列表中。添加到列表后,将不再针对扩展名为 .abc 的文件生成勒索软件攻击。
允许的文件类型可以是精确匹配(例如,".abc")或表达式(例如,.*type、.type*或.*type*)。不支持 .a*c、.p*f 类型的表达式。
已为审核引入了"Set By"和"Set Date"的其他属性。现有文件类型将迁移到新格式,这两个属性的值都设置为"migrated"。