Ansichten:

Während der Alarmuntersuchung können Sie Objekte von zukünftigen Erkennungen ausschließen.

Das Hinzufügen eines Objekts zur Ausnahmeliste schließt das Objekt von der Erkennung durch den aktuellen Filter aus. Sie können Ausnahmen über das Kontextmenü in Workbench oder Observed Attack Techniques hinzufügen. Diese Aufgabe verwendet ein Objekt in Workbench, um zu veranschaulichen, wie man eine Ausnahme über das Kontextmenü hinzufügt.
Hinweis
Hinweis
Neue Ausnahmen benötigen möglicherweise einige Minuten, bevor sie wirksam werden.
Sie können maximal 10.000 Ausnahmen hinzufügen. Beachten Sie beim Hinzufügen von Ausnahmen für einen einzelnen Filter, dass:
  • Wenn Sie Platzhalter verwenden, können Sie maximal drei Objektwerte, die mit demselben Datenfeld verknüpft sind, als Ausnahmen hinzufügen.
  • Wenn keine Platzhalter verwendet werden, können Sie maximal 100 Objektwerte als Ausnahmen hinzufügen, die mit demselben Datenfeld verknüpft sind.
Weitere Informationen finden Sie unter Ausnahmen.

Prozedur

  1. Gehen Sie in Workbench zu All Alerts.
  2. Klicken Sie auf die Workbench-ID für den Alarm, den Sie untersuchen möchten.
  3. Im Highlights-Panel untersuchen Sie die an jedem Ereignis beteiligten Objekte und wählen Sie ein Objekt aus, das als Ausnahme hinzugefügt werden soll.
    Ein Ereignis hat zwei Arten von Objekten:
    • Hervorgehobene Objekte, die den aktuellen Filter ausgelöst haben
      Sie können nur hervorgehobene Objekte zu den Ausnahmen hinzufügen.
    • In den Wirkungsbereich einbezogene Einheiten
      Da Wirkungskreis-Entitäten nicht die Kriterien für die Alarm-Auslösung sind, können Sie sie nicht als Ausnahmen hinzufügen.
  4. Klicken Sie mit der rechten Maustaste auf ein Objekt, das von der Erkennung ausgeschlossen werden soll, und wählen Sie Zu Ausnahmen hinzufügen.
    Zu Ausnahmen hinzufügen zeigt den aktuellen Erkennungsfilter und den ausgewählten Objektwert an.
  5. Wählen Sie Allow regex in criteria values aus, um Regex in Kriterienwerten zu verwenden.
    Standardmäßige Regex-Syntax wird unterstützt:
    • .*: Übereinstimmung mit null oder mehr Zeichen
    • .+: Ein oder mehrere Zeichen übereinstimmen
    • ^: Anfang des Strings
    • $: Ende der Zeichenkette
    • \: Escape-Zeichen
      Verwenden Sie einen Backslash (\), wenn der Wert eines der folgenden Zeichen enthält und Sie die Zeichen genau abgleichen möchten: \ { } ( ) [ ] . + * ? ^ $ |
    Beispiel 1: Um alle .exe-Dateien in C:\Users\Temp zu finden, geben Sie C:\\Users\\Temp\\.*\.exe ein.
    Beispiel 2: Um alle URLs zu finden, die mit https://example.com/ beginnen, geben Sie https://example\.com/.* ein.
  6. Geben Sie alle zusätzlichen Informationen in das Beschreibung ein.
  7. Klicken Sie auf Hinzufügen.