Whitelist Rules คืออะไร
Whitelist Rules เป็นฟีเจอร์สำหรับจัดการ whitelist ของ security incidents และ security alerts บน Sangfor XDR เพื่อลด noise จาก false positive และ low-value events ช่วยให้ทีม SOC สามารถมุ่งเน้นไปที่ภัยคุกคามที่สำคัญจริงๆ
การเข้าถึง Whitelist Rules
เข้าสู่ Sangfor XDR console แล้วไปที่ Detection & Response > Whitelist Rules จะพบ 2 tabs:
- Security Incident Whitelist Rules - จัดการ whitelist สำหรับ security incidents
- Security Alert Whitelist Rules - จัดการ whitelist สำหรับ security alerts
Security Incident Whitelist Rules
การเพิ่มเฉพาะ security alerts เข้า whitelist อาจไม่เพียงพอสำหรับบางสถานการณ์ หากมี security incidents ที่ซ้ำซ้อนจำนวนมาก เช่น low-value incidents หรือ false positive incidents สามารถเพิ่มเข้า whitelist เพื่อลด incident noise เพิ่มประสิทธิภาพการวิเคราะห์
การดูและจัดการ Incident Whitelist Rules
บน Security Incident Whitelist Rules tab สามารถ:
- View - ดู whitelist rules ที่มีอยู่
- Query - ค้นหา rules โดย IP address, rule name หรือ creator
- Delete - ลบ rules ที่ไม่ต้องการ
- Enable/Disable - เปิดหรือปิด rules
การสร้าง Security Incident Whitelist Rule
คลิก Add บน Security Incident Whitelist Rules tab ตั้งค่าพารามิเตอร์:
- Rule Name - ชื่อ rule
- Whitelist Rule - เลือก indicator fields ที่ใช้กรอง (ความสัมพันธ์แบบ AND)
- Applicable Hosts - Custom (ระบุ hosts) หรือ All
- Validity - ระยะเวลาที่ rule มีผลบังคับใช้
Whitelist Rule fields ที่รองรับ:
- Incident Name - ชื่อ incident
- Incident Rule ID - ID ของ rule ที่สร้าง incident
- Incident Engine - engine ที่ตรวจพบ
- Incident Assessment - ประเภทการประเมิน
- Tag - แท็กของ incident
- Device Source - แหล่งที่มาของอุปกรณ์
- Data Source - แหล่งที่มาของข้อมูล
หมายเหตุ: Whitelist rules จะ apply กับ incidents ที่สร้างขึ้นหลังจากตั้งค่า rule เท่านั้น สำหรับ incidents ก่อนหน้าต้อง ignore ด้วยตนเอง
Security Alert Whitelist Rules
Whitelist management สำหรับ alerts เป็นวิธีจัดการเพื่อระบุและ exclude low-value alerts โดย whitelist คือรายการ security alerts ที่ไม่ต้องตอบสนอง หาก alert ที่ triggered ตรงกับ whitelist rule จะถูก ignore โดยอัตโนมัติและไม่มี response ใดๆ
ประโยชน์:
- มั่นใจว่า high-value alerts จะได้รับการตอบสนอง
- ป้องกัน critical alerts จากการถูกมองข้ามเนื่องจาก low-value alerts
- ลด alert fatigue สำหรับทีม SOC
ข้อมูลที่แสดงบน Alert Whitelist Rules Tab
บน Security Alert Whitelist Rules tab จะแสดงข้อมูล:
- Rule Name - ชื่อ rule
- Indicator Content - เนื้อหา indicator ที่ใช้กรอง
- Duration - ระยะเวลาที่มีผล
- Created By - ผู้สร้าง
- Last Modified - แก้ไขล่าสุด
- Status - สถานะ (Enabled/Disabled)
Whitelist Rule Indicators สำหรับ Alert Whitelist
เมื่อสร้าง security alert whitelist rule สามารถเพิ่ม indicators หลายตัวได้ โดย indicators มีความสัมพันธ์แบบ AND Indicators ที่รองรับ:
- 5-tuple information - Src IP, Dst IP, Src Port, Dst Port, Protocol
- Alert Rule ID
- Log Rule ID
- Domain Name
- URL
- File MD5
- ATT&CK
- Attack Result
- Src IP, Dst IP
- X-Forwarded-For
- Alert Severity
- Src Port, Dst Port
ตัวอย่าง: สร้าง Alert Whitelist Rule
ต้องการ ignore security alerts ทั้งหมดที่เกี่ยวข้องกับ test host ที่มี IP address 10.226.33.182:
Step 1. ไปที่ Whitelist Rules > Security Alert Whitelist Rules คลิก Add
Step 2. ตั้งค่า:
- Enable - เปิดใช้งาน
- Alert Type - เลือก All
- Whitelist Rule - เลือก Dst IP in เป็น 10.226.33.182
- Applicable Hosts - Custom ป้อน 10.226.33.182
- Validity - Permanent
Step 3. คลิก OK
Alerts ที่ตรงเงื่อนไขจะถูก whitelist โดยอัตโนมัติ สถานะเปลี่ยนเป็น Fixed ตรวจสอบได้ที่ Security Alerts โดยกรอง WhitelistedState เป็น Whitelisted
การลบหรือ Disable Whitelist Rule
หาก whitelist rule หมดอายุหรือไม่ตรงกับความต้องการทางธุรกิจ:
- ลบ rule: เลือก whitelist rule คลิก Delete ที่มุมซ้ายบน
- Disable rule: คลิก toggle ใน Status column เพื่อเปลี่ยนสถานะเป็น Disabled
การจัดการ whitelist อย่างเหมาะสมเป็นสิ่งสำคัญเพื่อให้มั่นใจว่า whitelist มีความปลอดภัยและมีประสิทธิภาพ ป้องกันการใช้ whitelist ในทางที่ผิดที่อาจทำให้พลาด critical threats
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น