在警報調查期間,您可以添加要從未來檢測中排除的對象。
將物件添加到例外清單中可使該物件不被當前過濾器檢測到。您可以使用工作台或觀察到的攻擊技術中的上下文選單來添加例外。本任務使用工作台中的物件作為範例,說明如何使用上下文選單添加例外。
 |
注意新的例外可能需要幾分鐘才能生效。
|
步驟
- 在 Workbench 應用程式中,前往 All Alerts。
- 點選您想要調查的警報的 工作台 ID 連結。警報詳細資訊畫面顯示。
- 在Highlights面板中,檢查每個事件中涉及的對象,並選擇一個對象作為例外添加。
注意
事件中涉及兩種類型的對象:-
觸發當前過濾器的突出顯示對象
-
納入影響範圍的實體
您只能將突出顯示的對象添加到例外中。由於影響範圍實體不是警報觸發標準,因此無法將其添加為例外。 -
- 右鍵點選您想要排除偵測的物件,然後選擇Add to Exceptions。Add to Exceptions 畫面出現,內嵌當前檢測過濾器和所選對象值。
注意
如果物件值符合多個偵測過濾器,所有偵測過濾器都會顯示。預設情況下,所有過濾器都會被選中。您可以在必要時進行更改。 - (可選)如果您想用萬用字元替換對象的某些部分,請選擇Edit using wildcards。物件值支援以下元素:
-
.*:多字符替換 -
\:轉義字符如果物件值包含以下任何字符,請使用轉義字符 \\
來表示它們是沒有特殊意義的普通字符:\ { } ( ) [ ] . + * ? ^ $ |
例如,如果您想匹配C:\Users\Temp目錄中的所有.exe文件,請輸入 C:\Users\Temp\\.*\.exe;如果您想匹配所有以 https://example.com/ 開頭的 URL,請輸入 https://example\.com/\.*。 -
- (可選)在Description文本框中指定其他資訊。
- 點選新增。您新增的例外顯示在 Detection Model Management 應用程式的 Exceptions 畫面上。如需詳細資訊,請參閱 例外規則。
注意
一般來說,您最多可以添加 10,000 個例外。要為單個過濾器添加例外時,請注意:-
如果使用萬用字元,您最多可以新增 3 個與相同資料防護欄位相關的物件值作為例外。
-
如果不使用萬用字元,您可以添加最多 100 個與相同資料防護欄位相關的物件值作為例外。
-