ビュー:

例外は、誤検知やアラート疲労を軽減するために、特定のオブジェクトやイベントを検出モデルから除外します。
例外には次の2種類があります。
  • カスタム例外: [Detection Model Management]から発生します。カスタム例外は、ターゲット、イベントソース、および一致条件を使用して、検出から除外するオブジェクトとイベントを定義します。
  • コンテキストメニューの例外: WorkbenchおよびObserved Attack Techniquesのコンテキストメニューから発生します。コンテキストメニューの例外は、検出モデルフィルターと一致条件を使用して、検出から除外するオブジェクトとイベントを定義します。
例外には次の情報が含まれます:
説明
除外ID
例外の一意の識別子
名前
除外の名前
注意
注意
コンテキストメニューの例外には名前がありません。
対象
検出から除外したいオブジェクトやイベントの場所
例えば、エンドポイントのグローバル一意識別子 (GUID) を使用して、特定のエンドポイント上のオブジェクトを除外できます。
イベントソース/フィルタ
  • イベントソース: 検出から除外したいイベントの種類
    例えば、[ENDPOINT_ACTIVITY]イベントタイプ、[TELEMETRY_FILE]イベントID、および[TELEMETRY_FILE_CREATE]イベントサブIDを使用して、エンドポイントでのファイル作成イベントを除外できます。
  • フィルタ: オブジェクトを脅威痕跡として識別した検出モデルフィルタ (コンテキストメニューの例外)
一致条件
検出から除外されたオブジェクトまたはイベント
例えば、特定のファイル添付を[file_sha1]タイプ、[attachmentFileHash]フィールド、およびファイル添付のSHA-1を使用して除外できます。
説明
除外に関する追加情報
前回のアップデート
例外が最後に更新された日時
作成者/更新者
除外を作成または最後に更新したユーザ
関連情報