除外の追加

アラートの調査時に、検出から除外するオブジェクトを除外として追加できます。

1. Workbench アプリで、アラートビュータブをクリックします。
   
2. 調査するアラートのWorkbench IDリンクをクリックします。

   アラートの詳細画面が表示されます。

3. ハイライトパネルで、各イベントに関連するオブジェクトを確認し、例外として追加するオブジェクトを選択します。
   注:

   イベントに関係するオブジェクトには次の2種類があります。

   • 注目すべきオブジェクト

   • 影響範囲に含まれるエンティティ

   注目すべきオブジェクト のみを例外に追加できます。影響範囲のエンティティはアラートのトリガ条件ではないため、除外対象として追加できません。

4. 検出から除外するオブジェクトを右クリックし、除外に追加を選択します。

   除外に追加画面が表示され、現在の検出フィルタと選択したオブジェクトの値が埋め込まれます。

   注:

   オブジェクトの値が複数の検出フィルタに一致する場合は、すべての検出フィルタが表示されます。初期設定では、すべてのフィルタが選択されています。必要に応じて変更できます。

5. （オプション）ワイルドカードを使用して編集を選択して、オブジェクトの特定の部分をワイルドカードに置き換えます。

   オブジェクト値は次の要素をサポートします。

   • .*：複数文字の置換

   • \：エスケープ文字

     オブジェクトの値に次のいずれかの文字が含まれている場合は、エスケープ文字 "\" を使用して、それらが特別な意味を持たない通常の文字であることを示します。

     \ { } ( ) [ ] . + * ? ^ $ |

   たとえば、 C:\Users\Temp ディレクトリ内のすべての .exe ファイルを照合する場合は、「 C:\\Users\\Temp\\.*\.exe」と入力します。 https://example.com/で始まるすべてのURLを照合する場合は、「 https://example\.com/.*」と入力します。

6. （オプション）説明テキストボックスに追加情報を指定します。
7. 追加をクリックします。
   

   追加した除外設定は、 Detection Model Management アプリの除外画面に表示されます。

   詳細については、「 除外」を参照してください。

   注:

   通常、最大10,000件の除外を追加できます。

   1つのフィルタの除外を追加するには、次の点に注意してください。

   • ワイルドカードを使用する場合は、同じデータフィールドに関連付けられた最大10個のオブジェクト値を除外として追加できます。

   • ワイルドカードを使用しない場合は、同じデータフィールドに関連付けられた最大100個のオブジェクト値を除外として追加できます。