検出モデル/フィルターの例外

ビュー:

注目すべきオブジェクトとイベントを有効な検出モデル/フィルターの例外として追加し、アラート疲労と過剰な誤検知を減らします。

例外には次の2種類があります。

カスタム例外は[Detection Model Management] (Agentic SIEM and XDR → Detection Model Management → [除外]) から発生し、ターゲット、イベントソース、および一致基準を使用して、検出モデルおよびフィルターから除外する注目すべきオブジェクトとイベントを定義します。
コンテキストメニューの例外は、WorkbenchおよびObserved Attack Techniquesから発生し、検出モデル/フィルターマッチ基準を使用して、検出から除外する注目すべきオブジェクトとイベントを定義します。

例外には次の情報が含まれます:

列

説明

除外ID

名前

除外名

コンテキストメニューから発生する例外には名前がありません。

対象

検出から除外したい注目すべきオブジェクトやイベントの場所

例: エンドポイントGUIDを使用して特定のエンドポイントで注目すべきオブジェクトを除外できます。

イベントソース/フィルタ

イベントソース: 検出から除外したいイベントの種類

例: [ENDPOINT_ACTIVITY]イベントタイプ、[TELEMETRY_FILE]イベントID、および[TELEMETRY_FILE_CREATE]イベントサブIDを使用して、エンドポイントでのファイル作成イベントを除外できます。
フィルタ: オブジェクトを脅威痕跡として識別した検出モデルフィルタ (コンテキストメニューの例外)

一致条件

検出から除外された注目すべきオブジェクトまたはイベント

例: 特定のファイル添付を[file_sha1]タイプ、[attachmentFileHash]フィールド、およびファイル添付のSHA-1を使用して除外できます。

説明

除外に関する追加情報

前回のアップデート

例外が最後に更新された日時

作成者/更新者

除外を作成または最後に更新したユーザ

カスタム除外の編集について詳しくは、カスタム除外の編集をご覧ください。