บทนำ
Audit Whitelist ใช้สำหรับยกเว้นการ Audit ทราฟฟิกบางชุดที่ไม่ต้องการให้ STA ตรวจสอบ โดยการกำหนดข้อมูล 5-tuple (Source IP, Destination IP, Port, Protocol) ทราฟฟิกที่ตรงกับ Whitelist จะไม่ถูก Audit ช่วยลดภาระของระบบและลดจำนวน Log ที่ไม่จำเป็น
ข้อกำหนดเบื้องต้น
- ต้องตั้งค่า Audit Whitelist จากฝั่ง Athena NDR Console เท่านั้น (STA จะซิงค์โดยอัตโนมัติ)
- หากต้องการใช้ตัวเลือก Exclude Security Logs ต้องใช้ Athena STA V3.0.87 ขึ้นไป และ Athena NDR V3.0.95 ขึ้นไป
ขั้นตอนการตั้งค่า
- ล็อกอินเข้า Athena NDR Console เลื่อนเมาส์ไปที่ Profile Picture แล้วคลิก System
- ไปที่ System > Security Capabilities > Whitelists > Audit Whitelist
- คลิก Add เพื่อเปิด Add Audit Whitelist
- กรอกข้อมูล 5-tuple (Source/Destination IP, Port, Protocol) ของทราฟฟิกที่ต้องการยกเว้น
- หากต้องการไม่ให้มี Security Log สำหรับทราฟฟิกนี้ ให้เลือก Exclude Security Logs ทางด้านขวาของ Audit Settings — เมื่อเลือก จะไม่มีการสร้าง Security Log แต่ Audit Log ยังคงถูกสร้างตามปกติ
- คลิก OK เพื่อบันทึก
- เข้าสู่ STA Web Console ไปที่ Monitoring > Audit Whitelist เพื่อยืนยันว่ารายการถูกซิงค์จาก Athena NDR มาแล้ว
หมายเหตุ
- ไม่สามารถเพิ่ม Audit Whitelist โดยตรงจาก STA Web Console ได้ ต้องทำจาก Athena NDR Console เท่านั้น
- การเปิด Exclude Security Logs ช่วยลดการแจ้งเตือน False Positive แต่ต้องใช้ด้วยความระมัดระวัง เนื่องจากอาจปิดบังการตรวจจับที่สำคัญ
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น