ビュー:

アラートの調査中に、今後の検出から除外するオブジェクトを追加できます。

除外リストにオブジェクトを追加すると、そのオブジェクトは現在のフィルタによる検出から除外されます。 WorkbenchまたはObserved Attack Techniquesのコンテキストメニューを使用して、除外を追加できます。このタスクでは、 Workbenchのオブジェクトを例として使用して、コンテキストメニューを使用して例外を追加する方法を説明します。
注意
注意
新しい例外が有効になるまでに数分かかることがあります。

手順

  1. Workbench [app, go to] [すべてのアラート]
  2. 調査するアラートの [Workbench ID] リンクをクリックします。
    アラートの詳細画面が表示されます。
  3. [ハイライト] パネルで、各イベントに関連するオブジェクトを確認し、例外として追加するオブジェクトを選択します。
    注意
    注意
    イベントに関係するオブジェクトには、次の2種類があります。
    • 現在のフィルタをトリガした注目すべきオブジェクト
    • 影響範囲に含まれるエンティティ
    注目すべきオブジェクトのみを除外に追加できます。影響範囲エンティティはアラートのトリガ条件ではないため、除外として追加できません。
  4. 検出から除外するオブジェクトを右クリックし、 [除外に追加]を選択します。
    [除外に追加] 画面に、現在の検出フィルタと選択したオブジェクトの値が表示されます。
    注意
    注意
    オブジェクト値が複数の検出フィルタに一致した場合は、すべての検出フィルタが表示されます。初期設定では、すべてのフィルタが選択されています。必要に応じて変更できます。
  5. (オプション) オブジェクトの特定の部分をワイルドカードに置き換える場合は、 [ワイルドカードを使用して編集] を選択します。
    オブジェクト値では、次の要素がサポートされます。
    • .*: 複数文字置換
    • \¥: エスケープ文字
      オブジェクト値に次のいずれかの文字が含まれる場合は、エスケープ文字 \ を使用して、これらの文字が特別な意味を持たない通常の文字であることを示します。
      \ { } ( ) [ ] . + * ? ^ $ |
    たとえば、 ¥.exeのファイルC:¥¥Users¥¥Tempディレクトリ、タイプC:\\Users\\Temp\\\.*\.exe ;で始まるすべてのURLに一致させる場合https://example\.com/ 、タイプhttps://example\.com/\.*
  6. (オプション) [説明] テキストボックスに追加情報を指定します。
  7. [Add] をクリックします。
    追加した除外が、 Detection Model Management アプリの [除外] 画面に表示されます。
    詳細については、除外を参照してください。
    注意
    注意
    通常、最大10,000件の例外を追加できます。
    1つのフィルタに除外を追加する場合は、次の点に注意してください。
    • ワイルドカードを使用する場合は、同じデータフィールドに関連付けられた最大3つのオブジェクト値を除外として追加できます。
    • ワイルドカードを使用しない場合は、同じデータフィールドに関連付けられた最大100個のオブジェクト値を除外として追加できます。