在警報調查期間,您可以從未來的檢測中排除對象。
將物件新增至例外清單會將該物件排除在目前篩選器的偵測之外。您可以使用上下文功能表新增例外情況Workbench或者Observed Attack Techniques。此任務使用對象Workbench說明如何使用上下文選單新增例外。
 |
注意新的例外可能需要幾分鐘才能生效。
|
您最多可以新增 10,000 個例外。若要為單一過濾器新增例外,請注意:
-
如果使用通配符,則最多可以新增三個與相同資料欄位關聯的物件值作為例外。
-
如果不使用通配符,則最多可以新增 100 個與相同資料欄位關聯的物件值作為例外。
有關詳細信息,請參閱For more information, see例外規則 。
步驟
- 在Workbench中,前往「All Alerts」。
- 點擊您想要調查的警報的工作台 ID。
- 在Highlights面板中,檢查每個事件所涉及的物件並選擇一個物件新增為例外。事件有兩種類型的物件:
-
觸發當前過濾器的突出顯示對象您只能將突出顯示的物件新增至例外。
-
納入影響範圍的實體由於影響範圍實體不是警報觸發條件,因此您不能將它們新增為例外。
-
- 右鍵點擊要排除檢測的物件,然後選擇「新增至例外」。Add to Exceptions顯示目前偵測過濾器和選定的物件值。
- 若要在條件值中使用正則表達式,請選取「Allow regex in criteria values」。支援標準正則表達式語法:
-
.*:匹配零個或多個字元
-
.+:匹配一個或多個字元
-
^:字串的開始
-
$:字串結束
-
\:跳脫字元如果值包含以下任一字符,並且您想精確匹配這些字符,請使用反斜線 (\):\ { } ( ) [ ] . + * ? ^ $ |
範例 1:若要匹配C:\Users\Temp中的所有 .exe 檔案,請輸入 C:\\Users\\Temp\\.*\.exe。範例 2:若要匹配所有以 https://example.com/ 開頭的 URL,請輸入 https://example\.com/.*。 -
- 在Description 。
- 請點擊新增。