警示排除
建議變更
PDF
警報排除功能可讓您禁止針對特定檔案類型、使用者和目錄路徑產生警報。使用此功能可以排除已知且預期的活動,從而減少誤報,因為這些活動可能與警報模式相符。
請注意,僅抑制事件的警示;事件本身仍會被擷取並可供檢閱。
導覽至 Workload Security > Policies,然後選擇 Alert Exclusions 標籤。
警報排除項目依租戶配置,包括以下內容:
-
檔案類型:抑制特定檔案類型的 File Tampering 警報允許的檔案類型
-
使用者:隱藏由選定使用者觸發的警示。
-
路徑:抑制所選目錄路徑上活動的警示(最多四個目錄層級,從交接路徑開始)。
管理排除項目和稽核
-
管理員可以隨時新增或移除檔案副檔名、個別使用者或路徑。
-
每個排除項目都會記錄設定該項目的管理員姓名和設定日期。此資訊將保留以供稽核。
使用者和路徑
-
使用者排除清單:新增要從警示中排除的使用者。
-
目錄排除清單:支援最多四級目錄路徑,從 junction 路徑開始。
可以將個別使用者和目錄路徑新增至個別排除清單或從中移除。每個清單中的每個項目都會包含新增至清單的時間和新增者資訊,這些資訊將用於稽核目的。
檔案類型
將檔案類型新增至檔案類型清單後,系統將不會針對該允許的檔案類型產生檔案篡改攻擊警報。請注意,檔案類型策略僅適用於檔案篡改檢測。
例如,如果名為 test.txt 的檔案被重新命名為 test.txt.abc,而 Workload Security 由於 .abc 副檔名偵測到勒索軟體攻擊,則可以將 .abc 副檔名新增至 allowed file types 清單中。新增至清單後,系統將不再針對具有 .abc 副檔名的檔案產生勒索軟體攻擊。
允許的檔案類型可以是精確匹配(例如「.abc」),也可以是表達式(例如 .*type、.type* 或 .*type*)。不支援 .a*c 和 .p*f 類型的表達式。
為便於審核,新增了「Set By」和「Set Date」兩個屬性。現有檔案類型將遷移到新格式,這兩個屬性的值將被設定為「migrated」。