Ausnahmen schließen bestimmte Objekte und Ereignisse von Erkennungsmodellen aus, um
Fehlalarme und Alarmmüdigkeit zu reduzieren.
Es gibt zwei Arten von Ausnahmen:
-
Benutzerdefinierte Ausnahmen stammen von Detection Model Management und verwenden Ziel, Ereignisquelle und Übereinstimmungskriterien, um die Objekte und Ereignisse zu definieren, die von Erkennungen ausgeschlossen werden sollen.
-
Kontextmenüausnahmen stammen aus dem Kontextmenü in Workbench und Observed Attack Techniques und verwenden den Erkennungsmodelfilter und die Übereinstimmungskriterien, um die Objekte und Ereignisse zu definieren, die von den Erkennungen ausgeschlossen werden sollen.
Ausnahmen enthalten die folgenden Informationen:
|
Spalte
|
Beschreibung
|
||
|
Ausnahme-ID
|
Der eindeutige Bezeichner der Ausnahme
|
||
|
Name
|
Der Name der Ausnahme
|
||
|
Ziele
|
Der Standort der Objekte oder Ereignisse, die Sie von Erkennungen ausschließen möchten
Zum Beispiel können Sie Objekte auf einem bestimmten Endpunkt mithilfe der global
eindeutigen Kennung (GUID) des Endpunkts ausschließen.
|
||
|
Ereignisquelle / Filter
|
|
||
|
Übereinstimmung mit Kriterien
|
Die von Erkennungen ausgeschlossenen Objekte oder Ereignisse
Beispielsweise können Sie einen bestimmten Dateianhang ausschließen, indem Sie den
file_sha1-Typ, das attachmentFileHash-Feld und den SHA-1 des Dateianhangs verwenden.
|
||
|
Beschreibung
|
Die zusätzlichen Informationen über die Ausnahme
|
||
|
Zuletzt aktualisiert
|
Datum und Uhrzeit, wann die Ausnahme zuletzt aktualisiert wurde
|
||
|
Erstellt/Aktualisiert von
|
Der Benutzer, der die Ausnahme erstellt oder zuletzt aktualisiert hat
|
