Benutzerdefinierte Ausnahmen hinzufügen

Prozedur

1. Gehe zu Agentic SIEM and XDR → Detection Model Management → Ausnahmen.
2. Klicken Sie auf + Hinzufügen.
3. Geben Sie die allgemeinen Einstellungen (Exception name und Beschreibung) an.
4. Geben Sie die Zielvorgaben für Feld und Werte an.

   Hinweis Sie können bis zu 50 Werte angeben. Jeder Wert darf 128 Zeichen nicht überschreiten. Die Werte müssen dem Format des ausgewählten Feldes entsprechen. Wenn das Feld beispielsweise endpointGUID ist, müssen Sie eine GUID angeben. Wenn Sie mehrere Ziele definieren müssen, klicken Sie auf +Add Target, um ein weiteres Ziel zu definieren.

5. Wählen Sie die Ereignisquelle Ereignistyp, Ereignis-ID und Event sub-ID.

   Hinweis Jeder Ereignistyp ist mit einer Art von Aktivitätsdaten verbunden, die spezifische Datenquellen sammeln. Zum Beispiel ist der Ereignistyp ENDPOINT_ACTIVITY_DATA mit Endpunkt-Aktivitätsdaten verbunden, die Endpoint Sensoren sammeln. Weitere Informationen zu Datenquellen finden Sie unter Datenquellen.

6. Geben Sie die Übereinstimmungskriterien an (Field type, Feld und Werte). Wenn Sie mehrere Kriterien hinzufügen müssen, klicken Sie auf Add criteria.
7. Wählen Sie Allow regex in criteria values aus, um Regex in Kriterienwerten zu verwenden.

   Hinweis Standardmäßige Regex-Syntax wird unterstützt: .*: Übereinstimmung mit null oder mehr Zeichen .+: Ein oder mehrere Zeichen übereinstimmen ^: Anfang des Strings $: Ende der Zeichenkette \: Escape-Zeichen Verwenden Sie einen Backslash (\), wenn der Wert eines der folgenden Zeichen enthält und Sie die Zeichen genau abgleichen möchten: \ { } ( ) [ ] . + * ? ^ $ | Beispiel 1: Um alle .exe-Dateien in C:\Users\Temp zu finden, geben Sie C:\\Users\\Temp\\.*\.exe ein. Beispiel 2: Um alle URLs zu finden, die mit https://example.com/ beginnen, geben Sie https://example\.com/.* ein.

8. Klicken Sie auf Hinzufügen.