Ausnahmen schließen bestimmte Objekte und Ereignisse von Erkennungsmodellen aus, um
Fehlalarme und Alarmmüdigkeit zu reduzieren.
Es gibt zwei Arten von Ausnahmen:
-
Benutzerdefinierte Ausnahmen: Stammt von Detection Model Management. Benutzerdefinierte Ausnahmen verwenden Ziel, Ereignisquelle und Übereinstimmungskriterien, um die Objekte und Ereignisse zu definieren, die von Erkennungen ausgeschlossen werden sollen.
-
Kontextmenü-Ausnahmen: Entstehen aus dem Kontextmenü in Workbench und Observed Attack Techniques. Kontextmenü-Ausnahmen verwenden den Erkennungsmodellfilter und die Übereinstimmungskriterien, um die Objekte und Ereignisse zu definieren, die von Erkennungen ausgeschlossen werden sollen.
Ausnahmen enthalten die folgenden Informationen:
|
Spalte
|
Beschreibung
|
||
|
Ausnahme-ID
|
Der eindeutige Bezeichner der Ausnahme
|
||
|
Name
|
Der Name der Ausnahme
|
||
|
Ziele
|
Der Standort der Objekte oder Ereignisse, die Sie von Erkennungen ausschließen möchten
Zum Beispiel können Sie Objekte auf einem bestimmten Endpunkt mithilfe der global
eindeutigen Kennung (GUID) des Endpunkts ausschließen.
|
||
|
Ereignisquelle / Filter
|
|
||
|
Übereinstimmung mit Kriterien
|
Die von Erkennungen ausgeschlossenen Objekte oder Ereignisse
Beispielsweise können Sie einen bestimmten Dateianhang ausschließen, indem Sie den
file_sha1-Typ, das attachmentFileHash-Feld und den SHA-1 des Dateianhangs verwenden.
|
||
|
Beschreibung
|
Die zusätzlichen Informationen über die Ausnahme
|
||
|
Zuletzt aktualisiert
|
Datum und Uhrzeit, wann die Ausnahme zuletzt aktualisiert wurde
|
||
|
Erstellt/Aktualisiert von
|
Der Benutzer, der die Ausnahme erstellt oder zuletzt aktualisiert hat
|
