建立自訂例外,以排除指定的物件或事件,避免未來偵測到它們。
 |
警告檢測模型的例外情況可能導致漏報,這可能使安全威脅未被檢測到。
|
 |
注意新的例外可能需要幾分鐘才能生效。
|
自訂例外包含以下設定:
-
Targets:您想要排除偵測的物件或事件的位置資訊例如,您可以使用endpointGUID欄位和端點的全域唯一識別碼 (GUID) 排除特定端點上的物件。
-
Event source:您想要排除在檢測之外的事件類型例如,您可以使用ENDPOINT_ACTIVITY事件類型、TELEMETRY_FILE事件 ID 和TELEMETRY_FILE_CREATE事件子 ID 排除端點上的檔案建立事件。
-
Match criteria:您想要排除在檢測之外的物件和事件例如,您可以使用file_sha1欄位類型、attachmentFileHash欄位以及檔案附件的安全雜湊演算法 1 (SHA-1) 來排除特定的檔案附件。
步驟
- 前往 並點選 Exceptions 標籤。
- 點選+ Add。
- 指定一般設定以用於Exceptions表格。
- 指定例外的名稱。
- 請輸入描述,以幫助您的團隊識別例外情況及添加該例外的原因。
- 定義最多 10 個Targets。
- 從 Field 中選擇一個目標類型。
- 指定目標 Values。
-
您可以指定最多 50 個目標。
-
每個值不能超過 128 個字元。
-
值必須與指定的欄位匹配。例如,如果欄位是 endpointGUID,則提供的值必須是 GUID。
-
- 點選+Add Target以定義另一個目標。
- 定義事件來源。
- 選擇一個 Event type。
注意
每個事件類型都與由特定數據來源收集的一種類型的活動資料相關聯。例如,ENDPOINT_ACTIVITY_DATA 事件類型與由端點感測器收集的端點活動資料相關聯。如需了解更多有關活動資料和資料來源的資訊,請參閱 搜尋方法資料來源。 - 選擇一個 Event ID。
- 選擇一個 Event sub-ID。
- 選擇一個 Event type。
- 定義最多 10 個Match Criteria。
- 選擇Field type。
- 選擇Field。
- 最多指定 20 個Values。每個值不能超過 2048 個字元。
- 若要使用通配符取代物件的某些部分,請選擇Edit using wildcards 。物件值支援以下元素:
-
.*:多字符替換 -
\:轉義字符 -
如果物件值包含以下任何字符,請使用轉義字符反斜杠 (\) 來指示沒有特殊含義的普通字符:\ { } ( ) [ ] . + * ? ^ $ |
-
- 點選+Add Criteria以新增其他符合條件。
- 點選新增。