建立自訂例外,以排除指定的物件或事件,避免未來偵測到它們。

警告
警告
  • 檢測模型異常可能會導致誤報,這可能會讓威脅未被檢測到。
  • 新的例外可能需要幾分鐘才能生效。

步驟

  1. 前往 XDR 安全威脅調查Detection Model ManagementExceptions+ Add
  2. 為新的例外指定一般設定。
  3. 定義最多 10 個目標。
    1. 指定目標設定:
      • Field
      • Values
        • 您可以指定最多 50 個值。每個值不能超過 128 個字元。
        • 數值必須符合所選欄位的格式。例如,如果欄位是endpointGUID,您必須指定一個 GUID。
    2. 如果您需要定義多個目標,請點擊+Add Target來定義另一個目標。
  4. 定義事件來源。
    • Event type
      每個事件類型都與特定資料來源收集的一種類型活動資料相關聯。例如,ENDPOINT_ACTIVITY_DATA事件類型與端點感測器收集的端點活動資料相關聯。
      如需了解更多有關活動資料和資料來源的資訊,請參閱 搜尋方法資料來源
    • Event ID
    • Event sub-ID
  5. 定義最多 10 個匹配條件。
    1. 指定匹配條件:
      • Field type
      • Field
      • Values
        您可以指定最多 20 個值。每個值不能超過 2048 個字元。
    2. 若要使用通配符取代物件的某些部分,請選擇Edit using wildcards
      物件值支援以下元素:
      • .*:多字符替換
      • \:轉義字符
      • 如果物件值包含以下任何字符,請使用轉義字符反斜杠 (\) 來指示沒有特殊含義的普通字符:
        \ { } ( ) [ ] . + * ? ^ $ |
    3. 如果您需要添加多個條件,請點擊+Add Criteria來添加另一個匹配條件。
  6. 點選新增