Regole di whitelist per gli avvisi
Gli avvisi vengono generati in base alle regole predefinite specificate nel Seqrite Motore XDR e visualizzato sulla dashboard. Potresti imbatterti in alcuni avvisi attivati da attività valide nella tua rete. Una regola inserita nella whitelist ti consente di specificare una combinazione di parametri per inserire nella whitelist gli avvisi generati. Qualsiasi avviso che corrisponda alla regola inserita nella whitelist diventa visibile nella scheda "Visualizzazione avvisi inseriti nella whitelist". Puoi aggiungere le condizioni di avviso corrispondenti alle regole della whitelist in modo che gli avvisi futuri e gli stessi vecchi avvisi basati sull'esecuzione del file o sull'attività in base a tale regola non vengano più visualizzati nella visualizzazione della dashboard Avvisi regolari. Questi avvisi vengono quindi elencati in Avvisi inseriti nella whitelist.
Aggiungere una regola di avviso alle regole inserite nella whitelist
-
- Nel pannello di destra della dashboard, fai clic sull'avviso per il quale desideri inserire nella Whitelist la regola corrispondente.
- Si apre la vista Alert Analysis. Il riquadro destro mostra i dettagli per il processo selezionato o per qualsiasi altro processo.
- Clicchi Aggiungi alla lista bianca.
- Nella finestra di dialogo Aggiungi alla whitelist, immettere un nome per la regola inserita nella whitelist.
- Selezionare i parametri richiesti dai parametri visualizzati. I parametri appariranno a seconda del processo.
- Il riquadro di anteprima della query della regola mostra la query della regola corrispondente che verrebbe inserita nella Whitelist.
- Clicchi Fatto per salvare la regola nelle regole consentite.
Puoi visualizzare la regola sotto Regole della Whitelist scheda sul Regole pagina. Gli avvisi generati per questa regola saranno disponibili sotto Avvisi nella whitelist solo. Puoi ordinare le regole della Whitelist in base al timestamp.
È possibile eliminare la regola della Whitelist con l'aiuto di Elimina icona.
Note:: ☛
La correlazione automatica degli avvisi con l'incidente non è applicabile agli avvisi inseriti nella whitelist.