アラートの調査時に、検出から除外するオブジェクトを除外として追加できます。
除外リストにオブジェクトを追加すると、指定したデータフィールドに関連付けられたオブジェクト値が現在のフィルタで検出されなくなります。
新しい除外設定が有効になるまでに数分かかる場合があります。
アラートの詳細画面が表示されます。
イベントに関係するオブジェクトには次の2種類があります。
注目すべきオブジェクト
影響範囲に含まれるエンティティ
注目すべきオブジェクト のみを例外に追加できます。影響範囲のエンティティはアラートのトリガ条件ではないため、除外対象として追加できません。
除外に追加画面が表示され、現在の検出フィルタと選択したオブジェクトの値が埋め込まれます。
オブジェクトの値が複数の検出フィルタに一致する場合は、すべての検出フィルタが表示されます。初期設定では、すべてのフィルタが選択されています。必要に応じて変更できます。
オブジェクト値は次の要素をサポートします。
.*:複数文字の置換
\:エスケープ文字
オブジェクトの値に次のいずれかの文字が含まれている場合は、エスケープ文字 "\" を使用して、それらが特別な意味を持たない通常の文字であることを示します。
\ { } ( ) [ ] . + * ? ^ $ |
たとえば、 C:\Users\Temp ディレクトリ内のすべての .exe ファイルを照合する場合は、「 C:\\Users\\Temp\\.*\.exe」と入力します。 https://example.com/で始まるすべてのURLを照合する場合は、「 https://example\.com/.*」と入力します。
追加した除外設定は、 Detection Model Management アプリの除外画面に表示されます。
詳細については、「 除外」を参照してください。
通常、最大10,000件の除外を追加できます。
1つのフィルタの除外を追加するには、次の点に注意してください。
ワイルドカードを使用する場合は、同じデータフィールドに関連付けられた最大10個のオブジェクト値を除外として追加できます。
ワイルドカードを使用しない場合は、同じデータフィールドに関連付けられた最大100個のオブジェクト値を除外として追加できます。