Ansichten:

Während der Alarmuntersuchung können Sie Objekte von zukünftigen Erkennungen ausschließen.

Das Hinzufügen eines Objekts zur Ausnahmeliste schließt das Objekt von der Erkennung durch den aktuellen Filter aus. Sie können Ausnahmen über das Kontextmenü in Workbench oder Observed Attack Techniques hinzufügen. Diese Aufgabe verwendet ein Objekt in Workbench, um zu veranschaulichen, wie man eine Ausnahme über das Kontextmenü hinzufügt.
Hinweis
Hinweis
Neue Ausnahmen benötigen möglicherweise einige Minuten, bevor sie wirksam werden.
Sie können maximal 10.000 Ausnahmen hinzufügen. Beachten Sie beim Hinzufügen von Ausnahmen für einen einzelnen Filter, dass:
  • Wenn Sie Platzhalter verwenden, können Sie maximal drei Objektwerte, die mit demselben Datenfeld verknüpft sind, als Ausnahmen hinzufügen.
  • Wenn keine Platzhalter verwendet werden, können Sie maximal 100 Objektwerte als Ausnahmen hinzufügen, die mit demselben Datenfeld verknüpft sind.
Weitere Informationen finden Sie unter Ausnahmen.

Prozedur

  1. Gehen Sie in der Workbench-App zu All Alerts.
  2. Klicken Sie auf den Workbench ID der Warnung, die Sie untersuchen möchten.
  3. Im Highlights-Panel untersuchen Sie die an jedem Ereignis beteiligten Objekte und wählen Sie ein Objekt aus, das als Ausnahme hinzugefügt werden soll.
    Ein Ereignis hat zwei Arten von Objekten:
    • Hervorgehobene Objekte, die den aktuellen Filter ausgelöst haben
      Sie können nur hervorgehobene Objekte zu den Ausnahmen hinzufügen.
    • In den Wirkungsbereich einbezogene Einheiten
      Da Wirkungskreis-Entitäten nicht die Kriterien für die Alarm-Auslösung sind, können Sie sie nicht als Ausnahmen hinzufügen.
  4. Klicken Sie mit der rechten Maustaste auf ein Objekt, um es von der Erkennung auszuschließen, und wählen Sie dann Zu Ausnahmen hinzufügen.
    Zu Ausnahmen hinzufügen zeigt den aktuellen Erkennungsfilter und den ausgewählten Objektwert an.
  5. Um bestimmte Teile des Objekts durch Platzhalter zu ersetzen, wählen Sie Edit using wildcards.
    Der Objektwert unterstützt die folgenden Elemente:
    • .*: Mehrfacher Zeichenersatz
    • \: Escape-Zeichen
      Wenn der Objektwert eines der folgenden Zeichen enthält, verwenden Sie das Escape-Zeichen, den Rückwärtsschrägstrich (\), um gewöhnliche Zeichen anzugeben, die keine besondere Bedeutung haben:
      \ { } ( ) [ ] . + * ? ^ $ |
    Beispiel 1: Um alle .exe-Dateien in C:\Users\Temp zu finden, geben Sie C:\\Users\\Temp\\.*\.exe ein.
    Beispiel 2: Um alle Uniform Resource Locators (URLs) zu finden, die mit https://example.com/ beginnen, geben Sie https://example\.com/.* ein.
  6. Geben Sie alle zusätzlichen Informationen in das Beschreibung ein.
  7. Klicken Sie auf Hinzufügen.