カスタム除外を作成して、指定したオブジェクトまたはイベントを今後の検出から除外します。
 |
警告検出モデルの除外によって誤検出が発生し、セキュリティの脅威が検出されなくなる可能性があります。
|
 |
注意新しい例外が有効になるまでに数分かかることがあります。
|
カスタム除外には次の設定が含まれます。
-
[対象]: 検出から除外するオブジェクトまたはイベントの場所たとえば、 [endpointGUID] フィールドとエンドポイントのGUID値を使用して、特定のエンドポイント上のオブジェクトを除外できます。
-
[イベントソース]: 検出から除外するイベントの種類たとえば、 [ENDPOINT_ACTIVITY] イベントタイプ、 [TELEMETRY_FILE] イベントID、および [TELEMETRY_FILE_CREATE] イベントサブIDを使用して、エンドポイントでのファイル作成イベントを除外できます。
-
[一致条件]: 検出から除外するオブジェクトとイベントたとえば、 [file_sha1] フィールドタイプ、 [添付ファイルハッシュ] フィールド、および添付ファイルのSHA-1値を使用して、特定の添付ファイルを除外できます。
手順
- に移動し、 [除外] タブをクリックします。
- [+ 追加] をクリックします。
- [除外] タブのテーブルに表示する [一般設定] を指定します。
- 除外の名前を指定します。
- チームが例外を特定するのに役立つ説明と、例外が追加された理由を入力します。
- 10件まで定義対象。
- [フィールド] ドロップダウンメニューから対象の種類を選択します。
- [値] フィールドで対象を指定します。
注意
-
最大50件の対象を指定できます。
-
各値は128文字を超えることはできません。
-
指定された値は、指定されたフィールドと一致する必要があります。たとえば、フィールドが [[endpointGUID]]の場合、指定する値はGUIDである必要があります。
-
- 別のターゲットを定義するには、 [+対象の追加] をクリックします。
- [イベントソース]を定義します。
- ドロップダウンメニューからイベントの種類を選択します。
注意
各イベントタイプは、特定のデータソースセットによって収集された1種類のアクティビティデータに関連付けられます。たとえば、 [ENDPOINT_ACTIVITY_DATA] イベントタイプは、エンドポイントセンサーによって収集されたエンドポイントアクティビティデータに関連付けられます。アクティビティデータとデータソースの詳細については、「検索方法のデータソース 。 - ドロップダウンメニューからイベントIDを選択します。
- ドロップダウンメニューから [イベントのサブID] を選択します。
- ドロップダウンメニューからイベントの種類を選択します。
- [一致条件]を10個まで定義できます。
- フィールドタイプを選択。
- [フィールド]を選択します。
- 最大20個の [値]を指定します。各値は2048文字を超えることはできません。
- (オプション) オブジェクトの特定の部分をワイルドカードに置き換える場合は、 [ワイルドカードを使用して編集] を選択します。オブジェクト値では、次の要素がサポートされます。
-
.*: 複数文字置換 -
\
¥: エスケープ文字 -
オブジェクト値に次のいずれかの文字が含まれる場合は、エスケープ文字
\
を使用して、これらの文字が特別な意味を持たない通常の文字であることを示します。\ { } ( ) [ ] . + * ? ^ $ |
-
- 別の一致条件を追加するには、 [+条件の追加] をクリックします。
- [Add] をクリックします。