除外では、指定されたオブジェクトとイベントを検出モデルから除外することで、誤検出を排除し、アラートの疲労を軽減します。
例外には次の2種類があります。
-
カスタム例外はDetection Model Managementアプリで作成され、対象、イベントソース、および一致条件を使用して、検出から除外するオブジェクトとイベントを定義します。カスタム例外を作成するには、 [+追加] をクリックします。
-
コンテキストメニューの例外は、Workbenchのコンテキストメニューから作成され、検出モデルのフィルタと一致条件を使用して、検出からObserved Attack Techniquesオブジェクトとイベントを定義します。
次の表は、 [除外] タブで使用できる情報の概要を示しています。
|
列
|
説明
|
||
|
除外ID
|
例外の一意の識別子
|
||
|
名前
|
除外のユーザ定義名
|
||
|
対象
|
検出から除外されたオブジェクトまたはイベントの場所
|
||
|
イベントソース/フィルタ
|
|
||
|
一致条件
|
検出から除外されたオブジェクトまたはイベント
|
||
|
説明
|
例外に関するユーザ定義の情報
|
||
|
前回のアップデート
|
例外が最後に更新された日時
|
||
|
作成者/更新者
|
除外を作成または最後に更新したユーザ
|
