ビュー:

カスタム除外を作成して、指定したオブジェクトまたはイベントを今後の検出から除外します。

警告
警告
  • 検出モデルの例外は、脅威が検出されない可能性のある偽陰性を引き起こす可能性があります。
  • 新しい例外が有効になるまでに数分かかる場合があります。

手順

  1. XDR Threat InvestigationDetection Model Management[除外][+追加]に移動します。
  2. 新しい除外の一般設定を指定してください。
  3. 最大10個のターゲットを定義します。
    1. 対象の設定を指定します。
      • [フィールド]
      • [Values]
        • 最大50個の値を指定できます。各値は128文字を超えることはできません。
        • 値は選択したフィールドの形式と一致している必要があります。例えば、フィールドが[endpointGUID]の場合、GUIDを指定する必要があります。
    2. 複数のターゲットを定義する必要がある場合は、[+Add Target]をクリックして別のターゲットを定義してください。
  4. イベントソースを定義します。
    • [イベントの種類]
      各イベントタイプは、特定のデータソースが収集する1種類のアクティビティデータに関連付けられています。例えば、[ENDPOINT_ACTIVITY_DATA]イベントタイプは、エンドポイントセンサーが収集するエンドポイントアクティビティデータに関連付けられています。
      アクティビティデータとデータソースの詳細については、「検索方法のデータソース
    • [イベントID]
    • [イベントのサブID]
  5. 最大10個の一致条件を定義します。
    1. 一致条件を指定してください:
      • [Field type]
      • [フィールド]
      • [Values]
        最大20個の値を指定できます。各値は2048文字を超えることはできません。
    2. オブジェクトの特定の部分をワイルドカードに置き換えるには、[ワイルドカードを使用して編集]
      オブジェクト値では、次の要素がサポートされます。
      • .*: 複数文字置換
      • \¥: エスケープ文字
      • オブジェクト値に次のいずれかの文字が含まれる場合は、エスケープ文字のバックスラッシュ (\) を使用して、特別な意味のない通常の文字を示します。
        \ { } ( ) [ ] . + * ? ^ $ |
    3. 複数の条件を追加する必要がある場合は、[+Add Criteria]をクリックして別の一致条件を追加してください。
  6. [Add] をクリックします。