步驟

1. 前往 XDR 安全威脅調查 → Detection Model Management → Exceptions → + Add。
2. 為新的例外指定一般設定。
3. 定義最多 10 個目標。
   1. 指定目標設定：
      • Field
      • Values
        • 您可以指定最多 50 個值。每個值不能超過 128 個字元。
        • 數值必須符合所選欄位的格式。例如，如果欄位是endpointGUID，您必須指定一個 GUID。
   2. 如果您需要定義多個目標，請點擊+Add Target來定義另一個目標。
4. 定義事件來源。
   • Event type
     每個事件類型都與特定資料來源收集的一種類型活動資料相關聯。例如，ENDPOINT_ACTIVITY_DATA事件類型與端點感測器收集的端點活動資料相關聯。
     如需了解更多有關活動資料和資料來源的資訊，請參閱 搜尋方法資料來源。
   • Event ID
   • Event sub-ID
5. 定義最多 10 個匹配條件。
   1. 指定匹配條件：
      • Field type
      • Field
      • Values
        您可以指定最多 20 個值。每個值不能超過 2048 個字元。
   2. 若要使用通配符取代物件的某些部分，請選擇Edit using wildcards 。
      物件值支援以下元素：

      • .*：多字符替換
      • \：轉義字符
      • 如果物件值包含以下任何字符，請使用轉義字符反斜杠 (\) 來指示沒有特殊含義的普通字符：
        \ { } ( ) [ ] . + * ? ^ $ |
   3. 如果您需要添加多個條件，請點擊+Add Criteria來添加另一個匹配條件。
6. 點選新增。