建立自訂例外,以排除指定的物件或事件,避免未來偵測到它們。
 |
警告檢測模型異常可能導致誤報,這可能會使安全威脅未被檢測到。
|
 |
注意新的例外可能需要幾分鐘才能生效。
|
自訂例外包含以下設定:
-
Targets:您想要排除偵測的物件或事件的位置資訊例如,您可以使用endpointGUID欄位和端點的GUID值來排除特定端點上的物件。
-
Event source:您想要排除在檢測之外的事件類型例如,您可以使用ENDPOINT_ACTIVITY事件類型、TELEMETRY_FILE事件 ID 和TELEMETRY_FILE_CREATE事件子 ID 排除端點上的檔案建立事件。
-
Match criteria:您想要排除在檢測之外的物件和事件例如,您可以使用file_sha1欄位類型、attachmentFileHash欄位和檔案附件的 SHA-1 值來排除特定的檔案附件。
步驟
- 前往 並點選 Exceptions 標籤。
- 點選+ Add。
- 指定將在Exceptions標籤的表格中顯示的一般設定。
- 指定例外的名稱。
- 提供描述以幫助您的團隊識別例外情況及其添加原因。
- 定義最多 10 個Targets。
- 從Field下拉選單中選擇目標類型。
- 在Values欄位中指定目標。
注意
-
您可以指定最多 50 個目標。
-
每個值不能超過 128 個字元。
-
提供的值必須符合指定的欄位。例如,如果欄位是endpointGUID,那麼提供的值必須是 GUID。
-
- 點選+Add Target以定義另一個目標。
- 定義事件來源。
- 從下拉選單中選擇Event type。
注意
每個事件類型都與特定資料來源收集的一種類型活動資料相關聯。例如,ENDPOINT_ACTIVITY_DATA 事件類型與由端點感測器收集的端點活動資料相關聯。如需了解更多有關活動資料和資料來源的資訊,請參閱 搜尋方法資料來源。 - 從下拉選單中選擇Event ID。
- 從下拉選單中選擇Event sub-ID。
- 從下拉選單中選擇Event type。
- 定義最多 10 個Match Criteria。
- 選擇Field type。
- 選擇Field。
- 最多指定 20 個Values。每個值不能超過 2048 個字元。
- (可選)如果您想用萬用字元替換對象的某些部分,請選擇Edit using wildcards。物件值支援以下元素:
-
.*:多字符替換 -
\:轉義字符 -
如果物件值包含以下任何字符,請使用轉義字符 \
\
來表示它們是沒有特殊意義的普通字符:\ { } ( ) [ ] . + * ? ^ $ |
-
- 點選+Add Criteria以新增其他符合條件。
- 點選新增。