アラートの調査中に、今後の検出からオブジェクトを除外できます。
除外リストにオブジェクトを追加すると、そのオブジェクトは現在のフィルタによる検出から除外されます。のコンテキストメニューを使用して、除外を追加できます。WorkbenchまたはObserved Attack Techniques。このタスクでは、Workbenchは、コンテキストメニューを使用して例外を追加する方法を示しています。
 |
注意新しい例外が有効になるまでに数分かかることがあります。
|
最大10,000件の例外を追加できます。単一のフィルタに除外を追加する場合は、次の点に注意してください。
-
ワイルドカードを使用する場合は、同じデータフィールドに関連付けられている最大3つのオブジェクト値を除外として追加できます。
-
ワイルドカードを使用しない場合は、同じデータフィールドに関連付けられた最大100個のオブジェクト値を除外として追加できます。
詳細については、除外 。
手順
- Workbench [app, go to] [すべてのアラート]
- をクリックします。[Workbench ID]を選択します。
- で[ハイライト]パネルで、各イベントに関連するオブジェクトを確認し、例外として追加するオブジェクトを選択します。イベントには、次の2種類のオブジェクトがあります。
-
現在のフィルタをトリガした注目すべきオブジェクト注目すべきオブジェクトのみを除外に追加できます。
-
影響範囲に含まれるエンティティ影響範囲のエンティティはアラートのトリガ条件ではないため、例外として追加できません。
-
- 検出から除外するオブジェクトを右クリックして、[除外に追加] 。[除外に追加]現在の検出フィルタと選択したオブジェクトの値が表示されます。
- オブジェクトの特定の部分をワイルドカードに置き換えるには、[ワイルドカードを使用して編集] 。オブジェクト値では、次の要素がサポートされます。
-
.*: 複数文字置換 -
\
¥: エスケープ文字オブジェクト値に次のいずれかの文字が含まれる場合は、エスケープ文字のバックスラッシュ (\) を使用して、特別な意味のない通常の文字を示します。\ { } ( ) [ ] . + * ? ^ $ |
例1: すべてに一致する場合¥.exeのファイルC:¥¥ユーザ¥¥Temp、タイプC:\\ ユーザ\\Temp\\\.*\.exe 。例2: で始まるすべてのUniform Resource Locator (URL) を照合するにはhttps://example\.com/ 、タイプhttps://example\.com/\.* 。 -
- に追加情報を入力します。[説明] 。
- [Add] をクリックします。