アラートの調査中に、今後の検出からオブジェクトを除外できます。
除外リストにオブジェクトを追加すると、そのオブジェクトは現在のフィルタによる検出から除外されます。のコンテキストメニューを使用して、除外を追加できます。WorkbenchまたはObserved Attack Techniques。このタスクでは、Workbenchは、コンテキストメニューを使用して例外を追加する方法を示しています。
 |
注意新しい例外が有効になるまでに数分かかる場合があります。
|
最大10,000件の例外を追加できます。単一のフィルタに除外を追加する場合は、次の点に注意してください。
-
ワイルドカードを使用する場合は、同じデータフィールドに関連付けられている最大3つのオブジェクト値を除外として追加できます。
-
ワイルドカードを使用しない場合は、同じデータフィールドに関連付けられた最大100個のオブジェクト値を除外として追加できます。
詳細については、除外を参照してください。
手順
- Workbenchで、[すべてのアラート]に移動します。
- 調査したいアラートのWorkbench IDをクリックしてください。
- で[ハイライト]パネルで、各イベントに関連するオブジェクトを確認し、例外として追加するオブジェクトを選択します。イベントには、次の2種類のオブジェクトがあります。
-
現在のフィルタをトリガした注目すべきオブジェクト注目すべきオブジェクトのみを除外に追加できます。
-
影響範囲に含まれるエンティティ影響範囲のエンティティはアラートのトリガ条件ではないため、例外として追加できません。
-
- オブジェクトを右クリックして検出から除外し、[除外に追加]を選択します。[除外に追加]現在の検出フィルタと選択したオブジェクトの値が表示されます。
- 条件値で正規表現を使用するには、[Allow regex in criteria values] を選択します。標準の正規表現構文がサポートされています。
-
.*: 0文字以上の文字に一致
-
.+: 1文字以上に一致
-
^: 文字列の開始
-
$: 文字列の終わり
-
\: エスケープ文字次の文字が含まれていて、それらの文字を正確に一致させたい場合は、バックスラッシュ (\) を使用してください: \ { } ( ) [ ] . + * ? ^ $ |
例1:C:¥Users¥Temp内のすべての.exeファイルを照合するには、次のように入力します。C:\\Users\\Temp\\.*\.exe。例2: https://example.com/で始まるすべてのURLを照合するには、次のように入力します。https://example\.com/.*。 -
- に追加情報を入力します。[説明] 。
- [Add] をクリックします。