カスタム例外を追加

手順

1. Agentic SIEM and XDR → Detection Model Management → [除外] に移動します。
2. [+ 追加] をクリックします。
3. 一般設定を指定します ([除外名] と [説明])。
4. [フィールド]と[値]のターゲット設定を指定してください。

   注意 最大50個の値を指定できます。各値は128文字を超えることはできません。 値は選択したフィールドの形式と一致している必要があります。例えば、フィールドが[endpointGUID]の場合、GUIDを指定する必要があります。 複数のターゲットを定義する必要がある場合は、[+Add Target]をクリックして別のターゲットを定義してください。

5. イベントソース[イベントの種類]、[イベントID]、および[イベントのサブID]を選択してください。

   注意 各イベントタイプは、特定のデータソースが収集する1種類のアクティビティデータに関連付けられています。例えば、[ENDPOINT_ACTIVITY_DATA]イベントタイプは、エンドポイントセンサーが収集するエンドポイントアクティビティデータに関連付けられています。 データソースの詳細については、データソースを参照してください。

6. 一致条件を指定してください ([Field type]、[フィールド]、および[値])。複数の条件を追加する必要がある場合は、[条件を追加]をクリックしてください。
7. 条件値で正規表現を使用するには、[Allow regex in criteria values] を選択します。

   注意 標準の正規表現構文がサポートされています: .*: 0個以上の文字に一致 .+: 1文字以上の文字に一致 ^: 文字列の開始 $: 文字列の終わり \: エスケープ文字 次の文字が含まれていて、それらの文字を正確に一致させたい場合は、バックスラッシュ (\) を使用してください: \ { } ( ) [ ] . + * ? ^ $ | 例1: C:¥Users¥Temp内のすべての.exeファイルを照合するには、次のように入力します。C:\\Users\\Temp\\.*\.exe 例2: https://example.com/で始まるすべてのURLを照合するには、次のように入力します。https://example\.com/.*。

8. [Add] をクリックします。