Ausnahmen mit dem Kontextmenü hinzufügen

Prozedur

1. Gehe zu Agentic SIEM and XDR → Workbench.
2. Klicken Sie auf die Workbench-ID für den Alarm, den Sie untersuchen möchten.
3. Klicken Sie im Highlights-Panel mit der rechten Maustaste auf ein hervorgehobenes Objekt und wählen Sie Zu Ausnahmen hinzufügen.

   Hinweis Ein Ereignis enthält zwei Arten von Objekten: hervorgehobene Objekte, die den aktuellen Filter ausgelöst haben, und Wirkungsbereich-Entitäten, die keine Alarm-Auslöser sind. Sie können nur hervorgehobene Objekte über das Kontextmenü als Ausnahmen hinzufügen.

4. Um Regex in Kriterienwerten zu verwenden, wählen Sie Allow regex in criteria values aus.

   Hinweis Standardmäßige Regex-Syntax wird unterstützt: .*: Null oder mehr Zeichen übereinstimmen .+: Ein oder mehrere Zeichen übereinstimmen ^: Anfang des Strings $: Ende der Zeichenkette \: Escape-Zeichen Verwenden Sie einen Backslash (\), wenn der Wert eines der folgenden Zeichen enthält und Sie die Zeichen genau abgleichen möchten: \ { } ( ) [ ] . + * ? ^ $ | Beispiel 1: Um alle .exe-Dateien in C:\Users\Temp zu finden, geben Sie C:\\Users\\Temp\\.*\.exe ein. Beispiel 2: Um alle URLs zu finden, die mit https://example.com/ beginnen, geben Sie https://example\.com/.* ein.

5. Geben Sie alle zusätzlichen Informationen in das Beschreibung ein.
6. Klicken Sie auf Hinzufügen.