檢視次數:

使用WorkbenchObserved Attack Techniques中的上下文選單,將突出顯示的物件添加為已啟動的檢測模型/過濾器的例外。

此任務使用 Workbench 警示中的高亮物件來說明如何透過右鍵選單新增例外。
重要
重要
  • 新的例外可能需要幾分鐘才能生效。
  • 您最多可以新增 10,000 個例外。
  • 若要使用萬用字元為單一過濾器添加例外,您最多可以添加三個與相同資料防護欄位相關的物件值作為例外。如果不使用萬用字元,您最多可以添加100個與相同資料防護欄位相關的物件值作為例外。
  • 如需詳細資訊,請參閱偵測模型/過濾器的例外新增自訂例外

步驟

  1. 移至「Agentic SIEM and XDRWorkbench」。
  2. 點擊您想調查的警報的工作台 ID。
  3. 「Highlights」面板中,右鍵點擊已標示的物件,然後選擇「新增至例外」
    注意
    注意
    事件包含兩種類型的物件:觸發當前篩選器的重點物件,以及不是警報觸發器的影響範圍實體。您只能透過上下文選單將重點物件添加為例外。
  4. 若要在條件值中使用正則表達式,請選取「Allow regex in criteria values」
    注意
    注意
    支援標準正則表達式語法:
    • .*:匹配零個或多個字元
    • .+: 匹配一個或多個字元
    • ^:字串開始
    • $:字串結束
    • \:跳脫字元
      如果值包含以下任一字符,並且您想精確匹配這些字符,請使用反斜線 (\):\ { } ( ) [ ] . + * ? ^ $ |
    範例 1:若要匹配 C:\Users\Temp 中的所有 .exe 檔案,請輸入 C:\\Users\\Temp\\.*\.exe
    範例 2:若要匹配所有以 https://example.com/ 開頭的 URL,請輸入 https://example\.com/.*
  5. 「說明」中輸入任何其他資訊。
  6. 請點擊新增