ビュー:

カスタム除外を作成して、指定したオブジェクトまたはイベントを今後の検出から除外します。

警告
警告
  • 検出モデルの例外は、脅威が検出されない可能性のある偽陰性を引き起こす可能性があります。
  • 新しい例外が有効になるまでに数分かかる場合があります。

手順

  1. Agentic SIEM & XDRDetection Model Management[除外][+追加]に移動します。
  2. 新しい除外の一般設定を指定してください。
  3. 最大10個のターゲットを定義します。
    1. 対象の設定を指定します。
      • [フィールド]
      • [Values]
        • 最大50個の値を指定できます。各値は128文字を超えることはできません。
        • 値は選択したフィールドの形式と一致している必要があります。例えば、フィールドが[endpointGUID]の場合、GUIDを指定する必要があります。
    2. 複数のターゲットを定義する必要がある場合は、[+Add Target]をクリックして別のターゲットを定義してください。
  4. イベントソースを定義します。
    • [イベントの種類]
      各イベントタイプは、特定のデータソースが収集する1種類のアクティビティデータに関連付けられています。例えば、[ENDPOINT_ACTIVITY_DATA]イベントタイプは、エンドポイントセンサーが収集するエンドポイントアクティビティデータに関連付けられています。
      アクティビティデータとデータソースの詳細については、データソース を参照してください。
    • [イベントID]
    • [イベントのサブID]
  5. 最大10個の一致条件を定義します。
    1. 一致条件を指定してください:
      • [Field type]
      • [フィールド]
      • [Values]
        最大20個の値を指定できます。各値は2048文字を超えることはできません。
    2. 条件値で正規表現を使用するには、[Allow regex in criteria values] を選択します。
      標準の正規表現構文がサポートされています。
      • .*: 0文字以上の文字に一致
      • .+: 1文字以上に一致
      • ^: 文字列の開始
      • $: 文字列の終わり
      • \: エスケープ文字
      • 次の文字が含まれていて、それらの文字を正確に一致させたい場合は、バックスラッシュ (\) を使用してください: \ { } ( ) [ ] . + * ? ^ $ |
    3. 複数の条件を追加する場合は、[条件を追加] をクリックします。
  6. [Add] をクリックします。