ビュー:

カスタム除外を作成して、指定したオブジェクトまたはイベントを今後の検出から除外します。

警告
警告
検出モデルの例外は、セキュリティ脅威が検出されないままになる可能性がある偽陰性を引き起こす可能性があります。
注意
注意
新しい例外が有効になるまでに数分かかることがあります。
カスタム除外には次の設定が含まれます。
  • [対象]: 検出から除外するオブジェクトまたはイベントの場所
    例えば、特定のエンドポイント上のオブジェクトを[endpointGUID]フィールドとエンドポイントのグローバル一意識別子 (GUID) を使用して除外できます。
  • [イベントソース]: 検出から除外するイベントの種類
    たとえば、 [ENDPOINT_ACTIVITY] イベントタイプ、 [TELEMETRY_FILE] イベントID、および [TELEMETRY_FILE_CREATE] イベントサブIDを使用して、エンドポイントでのファイル作成イベントを除外できます。
  • [一致条件]: 検出から除外するオブジェクトとイベント
    例えば、特定のファイル添付を除外するには、[file_sha1]フィールドタイプ、[attachmentFileHash]フィールド、およびファイル添付のセキュアハッシュアルゴリズム1 (SHA-1) を使用できます。

手順

  1. [XDR Threat Investigation][Detection Model Management]に移動し、 [除外] タブをクリックします。
  2. [+ 追加] をクリックします。
  3. [除外]テーブルの[一般設定]を指定してください。
    1. 除外の名前を指定します。
    2. 除外を識別し、追加する理由をチームが理解できるように説明を入力してください。
  4. 10件まで定義対象
    1. [フィールド]からターゲットタイプを選択してください。
    2. ターゲット[Values]を指定してください。
      • 最大50件の対象を指定できます。
      • 各値は128文字を超えることはできません。
      • 値は指定されたフィールドと一致する必要があります。例えば、フィールドが[endpointGUID]の場合、提供される値はGUIDでなければなりません。
    3. 別のターゲットを定義するには、 [+対象の追加] をクリックします。
  5. [イベントソース]を定義します。
    1. [イベントの種類]を選択してください。
      注意
      注意
      各イベントタイプは、特定のデータソースセットによって収集された1種類のアクティビティデータに関連付けられています。例えば、[ENDPOINT_ACTIVITY_DATA]イベントタイプは、エンドポイントセンサーによって収集されたエンドポイントアクティビティデータに関連付けられています。
      アクティビティデータとデータソースの詳細については、「検索方法のデータソース
    2. [イベントID]を選択してください。
    3. [イベントのサブID]を選択してください。
  6. [一致条件]を10個まで定義できます。
    1. フィールドタイプを選択。
    2. [フィールド]を選択します。
    3. 最大20個の [値]を指定します。各値は2048文字を超えることはできません。
    4. オブジェクトの特定の部分をワイルドカードに置き換えるには、[ワイルドカードを使用して編集]
      オブジェクト値では、次の要素がサポートされます。
      • .*: 複数文字置換
      • \¥: エスケープ文字
      • オブジェクト値に次のいずれかの文字が含まれる場合は、エスケープ文字のバックスラッシュ (\) を使用して、特別な意味のない通常の文字を示します。
        \ { } ( ) [ ] . + * ? ^ $ |
    5. 別の一致条件を追加するには、 [+条件の追加] をクリックします。
  7. [Add] をクリックします。