檢視次數:

將自訂例外項目新增至已啟動的偵測模型/過濾器,以排除未來偵測中指定的突出顯示物件或事件。

步驟

  1. 前往Agentic SIEM and XDRDetection Model ManagementExceptions
  2. 點選+ Add
  3. 指定一般設定(「Exception name」「說明」)。
  4. 指定「Field」「值」目標設定。
    注意
    注意
    • 您可以指定最多 50 個值。每個值不能超過 128 個字元。
    • 數值必須符合所選欄位的格式。例如,如果欄位是endpointGUID,您必須指定一個 GUID。
    • 如果您需要定義多個目標,請點擊+Add Target來定義另一個目標。
  5. 選擇事件來源「事件類型」「事件 ID」「Event sub-ID」
    注意
    注意
    每個事件類型都與特定資料來源收集的一種類型活動資料相關聯。例如,ENDPOINT_ACTIVITY_DATA事件類型與端點感測器收集的端點活動資料相關聯。
    如需有關資料來源的詳細資訊,請參閱資料來源
  6. 指定比對條件(「Field type」「Field」「值」)。如果您需要添加多個條件,請點擊「Add criteria」
    秘訣
    秘訣
    IPv4 欄位支援 CIDR 表示法。當選擇的欄位類型為「ip」且所選的 IPv4 欄位接受 CIDR 時,您可以輸入單一 IPv4 位址(例如 192.168.1.10)或 CIDR 區塊(例如 192.168.1.0/24)。例外情況會匹配任何 IP 位於指定範圍內的事件。
    IPv6 欄位如 "interestedIpv6" 和 "peerIpv6" 不支援 CIDR 表示法。
  7. 若要在條件值中使用正則表達式,請選取「Allow regex in criteria values」
    注意
    注意
    支援標準正則表達式語法:
    • .*:匹配零個或多個字元
    • .+:匹配一個或多個字元
    • ^:字串的開始
    • $:字串結尾
    • \:跳脫字元
      如果值包含以下任一字符,並且您想精確匹配這些字符,請使用反斜線 (\):\ { } ( ) [ ] . + * ? ^ $ |
    範例 1:若要匹配 C:\Users\Temp 中的所有 .exe 檔案,請輸入 C:\\Users\\Temp\\.*\.exe
    範例 2:若要匹配所有以 https://example.com/ 開頭的 URL,請輸入 https://example\.com/.*
  8. 請點擊新增