例外排除指定的對象和事件,從檢測模型中排除,幫助消除誤報並減少警報疲勞。
有兩種類型的例外:
-
自訂例外是在偵測模型管理應用程式中建立的,並使用目標、事件來源和匹配條件來定義要從偵測中排除的物件和事件。點選+Add以建立自訂例外。
-
內容選單例外 是從工作台和觀察到的攻擊技術中的內容選單創建的,並使用檢測模型篩選器和匹配標準來定義要從檢測中排除的對象和事件。
下表概述了Exceptions標籤上的可用資訊。
|
欄
|
說明
|
||
|
例外 ID
|
例外的唯一識別碼
|
||
|
名稱
|
例外的使用者定義名稱
|
||
|
目標
|
從偵測中排除的物件或事件的位置
|
||
|
事件來源 / 篩選
|
|
||
|
符合條件
|
排除在偵測範圍外的物件或事件
|
||
|
說明
|
有關例外的使用者定義資訊
|
||
|
上次更新時間
|
例外項目最後更新的日期和時間
|
||
|
建立/更新者
|
創建或最後更新例外的使用者
|
