自定义排除规则
使用 自定义排除规则 页面定义规则,将特定行为标记为与组织无关,从而防止在 事件页面 .
注意
为确保此功能按预期运行,请前往 配置 > 更新 页面并勾选 为第三方GravityZone组件启用自动安全更新 复选框。否则,您创建的规则可能在下一次 GravityZone 控制中心 更新。
使用这些操作按钮自定义您的网格视图:
-
点击 重置视图 按钮将网格恢复为默认的列显示和筛选设置。此操作还将清除现有筛选器及其值。
-
点击
显示/隐藏筛选器
按钮以显示或隐藏筛选栏。
-
点击
打开设置
按钮可添加或移除网格列。
创建自定义排除规则
请按以下步骤创建自定义排除规则:
-
在 自定义排除规则 页面中,点击 添加规则 按钮。
系统将跳转至 添加规则 页面。
-
在 排除规则定义 部分配置以下设置:
-
从 排除所有 字段中选择要包含在排除规则中的元素类型。
-
使用 匹配以下 设置,配置将触发规则的设置:
-
在 选择条件 字段中,选择规则所需的参数。这些元素将与您在 在此输入类型值 字段。
某些字段仅兼容XDR或EDR技术。这些字段会标有
EDR或XDR标签。这意味着,例如使用带EDR标签参数的规则将不适用于通过XDR功能检测到的行为。未标注标签的参数同时适用于两种技术。
提示
您可以在每个条件中使用 警报名称 参数来阻止特定警报生成事件。
使用此参数时,请确保输入的值与 GravityZone 中显示的警报名称完全匹配。该参数不支持通配符,且仅兼容
等于运算符。 -
在 选择运算符 字段中,设置选定条件与 在此输入值 字段中输入值之间的关系:
-
等于 - 完全匹配值字段中输入的内容。
-
包含 - 匹配所有包含值字段中输入字符串的值(例如文件扩展名)。
重要
创建排除规则时需谨慎使用通配符,过度泛化可能增加忽略真实威胁的风险,使企业更易受攻击。
-
属于 - 匹配值字段中输入的任意值(
或操作将在输入值之间执行。每个值输入后必须按Enter键以完成操作。
-
-
在 在此输入类型值 字段中,输入您希望与条件进行比较的自定义值。
-
-
(可选)使用 新增 按钮为规则添加更多条件。
注意
该规则仅在满足所有条件时排除事件(已添加条件之间执行
AND操作)。
-
点击 下一步 .
注意
应用于XDR警报的规则在交互级别生效。若要排除涉及超过2个节点交互的警报,需配置规则覆盖所有需排除的交互。
-
-
在 规则配置 部分设置参数:
-
在 规则配置 部分,输入名称、描述并为规则添加标签。
规则标签可帮助您根据需要识别、分组和排序规则。若无合适标签,可点击 创建标签 按钮进行添加。
-
勾选 启用排除规则 复选框以在创建后立即激活规则。
-
点击 下一步 .
-
-
在 排除规则目标 部分设置规则的应用范围:
有两种将规则应用于终端的方法:
-
直接对公司应用规则 - 此方法将规则应用于公司所有受管实体。
注意
此选项将显示您的公司名称。
此方法与所有参数兼容。
-
终端标签 - 此方法仅将规则应用于分配了特定标签的终端。
通过此方法应用的规则仅适用于通过EDR功能检测到的行为,与XDR技术不兼容。
提示
您可 管理终端标签 通过 网络 > 标签管理 页面。
从该部分左侧的 终端标签 列表中勾选所需标签,可使用搜索栏查找特定标签。
所有选定标签将添加到该部分右侧的 已选终端标签 列表中。
-
-
点击 保存 .
新规则现已出现在 自定义排除规则 网格中,您可以在 事件 > 搜索 页面通过查询中的
other.rule_id字段查看生成的警报。
查看排除规则详情
要查看特定规则的详细信息,请在网格中找到该规则,并点击其所在行的任意位置以显示 规则详情 侧边面板。
该面板包含有关规则创建的信息、应用于规则的设置以及以下选项
-
其中 查看警报 选项会将您重定向至 搜索 页面,系统将自动运行预填充查询以检索由该规则触发的所有警报。
-
点击 编辑规则 按钮将弹出规则定义窗口,您可在其中修改规则设置。
-
而 删除 按钮会永久移除该规则。