例外は、誤検知を排除し、アラート疲れを軽減するために、特定のオブジェクトやイベントを検出モデルから除外します。
例外には次の2種類があります。
-
カスタム例外はDetection Model Managementから来ており、ターゲット、イベントソース、および一致条件を使用して、検出から除外するオブジェクトとイベントを定義します。カスタム例外を作成するには、 [+追加] をクリックします。
-
コンテキストメニューの例外は、WorkbenchおよびObserved Attack Techniquesのコンテキストメニューから取得され、検出モデルフィルターと一致基準を使用して、検出から除外するオブジェクトとイベントを定義します。
次の表は、[除外]タブの情報を示しています。
|
列
|
説明
|
||
|
除外ID
|
例外の一意の識別子
|
||
|
名前
|
除外のユーザ定義名
|
||
|
対象
|
検出から除外されたオブジェクトまたはイベントの場所
|
||
|
イベントソース/フィルタ
|
|
||
|
一致条件
|
検出から除外されたオブジェクトまたはイベント
|
||
|
説明
|
例外に関するユーザ定義の情報
|
||
|
前回のアップデート
|
例外が最後に更新された日時
|
||
|
作成者/更新者
|
除外を作成または最後に更新したユーザ
|
