自定义排除规则
使用 自定义排除规则 页面定义规则,将特定行为标记为与您的组织无关,从而防止在 事件页面 .
合作伙伴可为其他公司管理规则,并可通过网格中的 公司 筛选器查看为各公司创建的规则。客户也可查看合作伙伴为其公司应用的规则。
但切换至新合作伙伴时,前合作伙伴创建的所有自定义规则将被禁用。新合作伙伴无法查看前合作伙伴应用的规则。
使用这些操作按钮自定义您的网格:
-
点击 重置视图 按钮可将网格恢复为默认设置的显示列和筛选条件。此选项还会清除现有筛选器及其值。
-
点击
显示或隐藏筛选器
按钮可显示或隐藏筛选器栏。
-
点击
打开设置
按钮可从网格中添加或移除列。
创建自定义排除规则
要创建自定义排除规则,请按照以下步骤操作:
-
在 自定义排除规则 页面中,点击 添加规则 按钮。
您将被重定向至 添加规则 页面。
-
在 排除规则定义 部分,配置以下设置:
-
从 排除所有 字段中,选择要包含在排除规则中的元素类型。
-
使用 匹配以下 设置,配置将触发规则的设置:
-
在 选择条件 字段中,为规则选择所需参数。这些元素将与您在 在此输入值 字段中输入的自定义值进行比较。
某些字段仅兼容XDR或EDR技术。这些字段会标记为
EDR或XDR标签。这意味着,例如,使用带有EDR标签参数的规则将不适用于通过XDR功能检测到的行为。无标签的参数适用于两种技术。
提示
您可以在每个条件中使用 告警名称 参数来阻止特定告警生成事件。
使用此参数时,请确保输入的值与 GravityZone 中显示的告警名称匹配。此参数不支持通配符,且仅兼容
等于运算符。 -
在 选择运算符 字段中,设置所选条件与您在 在此输入值 字段中输入的值之间的关系:
-
等于 - 匹配值字段中输入的精确值。
-
包含 - 匹配所有包含值字段中输入的字符串的值(例如文件扩展名)。
重要
创建排除规则时请谨慎使用通配符,这会增加规则过于宽泛的风险。宽泛的规则可能会忽略真实威胁,使您的公司更加脆弱。
-
属于其中之一 - 匹配值字段中输入的任意值(在值之间执行
或运算)。输入每个值后必须按Enter键以完成操作。
-
-
在 在此输入数值 字段中,输入您希望与条件进行比较的自定义值。
-
-
(可选)使用 新增 按钮为规则添加更多条件。
注意
该规则仅在满足所有条件时才会排除事件(在已添加条件之间执行
AND逻辑运算)。
-
点击 下一步 .
注意
应用于XDR警报的规则在交互级别生效。若要排除涉及超过2个节点交互的警报,需将规则配置为覆盖所有需排除的交互。
-
-
在 规则配置 部分设置参数:
-
在 规则配置 部分,输入规则名称、描述并添加标签。
规则标签可帮助您根据需要识别、分组和排序规则。若无合适标签,可点击 创建标签 按钮进行添加。
-
勾选 启用排除规则 复选框以在创建后立即激活规则。
-
阅读规则结果部分的信息,此处说明规则的应用范围及效果。
-
点击 下一步 .
-
-
在 排除规则目标 部分设置规则的应用范围:
有三种将规则应用于终端的方法:
-
直接对公司应用规则 - 此方法将规则应用于您公司所有受管实体。
注意
此选项将显示您的公司名称。
此方法兼容所有参数。
-
终端标签 - 此方法仅将规则应用于分配了特定标签的终端。
使用此方法应用的规则仅适用于通过EDR功能检测到的行为,与XDR技术不兼容。
提示
您可以 管理终端标签 ,通过 网络 > 标签管理 页面。
从该部分左侧的 终端标签 列表中选择所需标签的复选框。您可以使用搜索字段查找特定标签。
所有选定的标签将添加到该部分右侧的 已选终端标签 列表中。
-
公司 - 规则仅适用于选定的受管公司。
您可以从左侧菜单的列表中选择公司,所选内容将显示在右侧菜单中。
-
-
点击 保存 .
新规则现已出现在 自定义排除规则 网格中,您可以在 事件 > 搜索 页面通过查询中的
other.rule_id字段查看生成的警报。
排除规则使用案例
假设以下场景:您需要排除名称中包含"Automate"字样的所有内容。
为此您需要创建四条排除规则:两条针对进程,两条针对文件。
以下是进程规则的示例:
以下是文件规则的示例:
所有规则将列于 自定义排除规则 网格中:
查看排除规则详情
要查看特定规则的详细信息,请在网格中找到该规则,并点击其所在行的任意位置以显示 规则详情 侧边面板。
该面板包含规则创建信息、应用的设置以及以下选项
-
其中 查看警报 选项将跳转至 搜索 页面,系统会自动运行预填查询以获取该规则触发的所有警报。
-
而 编辑规则 按钮会弹出规则定义窗口,您可在此修改规则设置。
-
点击 删除 按钮将永久移除该规则。