Ausnahmen für Erkennungsmodelle/Filter

Ansichten:

Fügen Sie hervorgehobene Objekte und Ereignisse als Ausnahmen zu aktivierten Erkennungsmodellen/Filtern hinzu, um Alarmmüdigkeit und übermäßige Fehlalarme zu reduzieren.

Hinweis

Es gibt zwei Arten von Ausnahmen:

Benutzerdefinierte Ausnahmen, die von Detection Model Management (Agentic SIEM and XDR → Detection Model Management → Ausnahmen) stammen, und Ziel, Ereignisquelle und Übereinstimmungskriterien verwenden, um die hervorgehobenen Objekte und Ereignisse zu definieren, die von Erkennungsmodellen und Filtern ausgeschlossen werden sollen.
Kontextmenü-Ausnahmen, die von Workbench und Observed Attack Techniques stammen, und die das Erkennungsmodell/Filterabgleichskriterien verwenden, um die hervorgehobenen Objekte und Ereignisse zu definieren, die von Erkennungen ausgeschlossen werden sollen.

Ausnahmen enthalten die folgenden Informationen:

Spalte

Beschreibung

Ausnahme-ID

Die Ausnahme-ID

Name

Der Ausnahme-Name

Hinweis

Ausnahmen, die aus dem Kontextmenü stammen, haben keine Namen.

Ziele

Der Standort der hervorgehobenen Objekte oder Ereignisse, die Sie von den Erkennungen ausschließen möchten

Beispiel: Sie können hervorgehobene Objekte auf einem bestimmten Endpunkt mithilfe der Endpunkt-GUID ausschließen.

Ereignisquelle / Filter

Ereignisquelle: Die Arten von Ereignissen, die Sie von Erkennungen ausschließen möchten

Beispiel: Sie können Ereignisse zur Dateierstellung auf Endpunkten ausschließen, indem Sie den ENDPOINT_ACTIVITY Ereignistyp, die TELEMETRY_FILE Ereignis-ID und die TELEMETRY_FILE_CREATE Ereignis-Sub-ID verwenden.
Filter: Der Erkennungsmodelfilter, der das Objekt als Bedrohungsindikator identifiziert hat (Ausnahmen im Kontextmenü)

Übereinstimmung mit Kriterien

Die hervorgehobenen Objekte oder Ereignisse sind von den Erkennungen ausgeschlossen

Beispiel: Sie können einen bestimmten Dateianhang ausschließen, indem Sie den file_sha1-Typ, das attachmentFileHash-Feld und den SHA-1 des Dateianhangs verwenden.

Beschreibung

Die zusätzlichen Informationen über die Ausnahme

Zuletzt aktualisiert

Datum und Uhrzeit, wann die Ausnahme zuletzt aktualisiert wurde

Erstellt/Aktualisiert von

Der Benutzer, der die Ausnahme erstellt oder zuletzt aktualisiert hat

Um mehr über das Bearbeiten einer benutzerdefinierten Ausnahme zu erfahren, siehe Eine benutzerdefinierte Ausnahme bearbeiten.