ビュー:

WorkbenchまたはObserved Attack Techniquesのコンテキストメニューを使用して、注目すべきオブジェクトを有効な検出モデル/フィルターの例外として追加します。

このタスクでは、Workbenchアラートで強調表示されたオブジェクトを使用して、コンテキストメニューを介して除外を追加する方法を示します。
重要
重要
  • 新しい除外が有効になるまでに数分かかる場合があります。
  • 最大10,000の例外を追加できます。
  • ワイルドカードを使用して単一フィルターに例外を追加する場合、同じデータフィールドに関連付けられた最大3つのオブジェクト値を例外として追加できます。ワイルドカードを使用しない場合、同じデータフィールドに関連付けられた最大100のオブジェクト値を例外として追加できます。
  • 詳細については、検出モデル/フィルターの例外およびカスタム例外を追加を参照してください。

手順

  1. Go to Agentic SIEM and XDRWorkbench.
  2. 調査したいアラートのWorkbench IDをクリックしてください。
  3. [ハイライト]パネルで、ハイライトされたオブジェクトを右クリックし、[除外に追加]を選択します。
    注意
    注意
    イベントには2種類のオブジェクトが含まれます: 現在のフィルターをトリガーした注目すべきオブジェクトと、アラートトリガーではない影響範囲エンティティです。コンテキストメニューを通じて例外として追加できるのは注目すべきオブジェクトのみです。
  4. 条件値で正規表現を使用するには、[Allow regex in criteria values] を選択します。
    注意
    注意
    標準の正規表現構文がサポートされています:
    • .*: 0文字以上の文字に一致
    • .+: 1文字以上の文字に一致
    • ^: 文字列の開始
    • $: 文字列の終わり
    • \: エスケープ文字
      次の文字が含まれていて、それらの文字を正確に一致させたい場合は、バックスラッシュ (\) を使用してください: \ { } ( ) [ ] . + * ? ^ $ |
    例1: C:¥Users¥Temp内のすべての.exeファイルを照合するには、次のように入力します。C:\\Users\\Temp\\.*\.exe
    例2: https://example.com/で始まるすべてのURLを照合するには、次のように入力します。https://example\.com/.*
  5. [説明]に追加情報を入力してください。
  6. [追加] をクリックします。