在警報調查期間,您可以從未來的檢測中排除對象。
將物件新增至例外清單會將該物件排除在目前篩選器的偵測之外。您可以使用上下文功能表新增例外情況Workbench或者Observed Attack Techniques。此任務使用對象Workbench說明如何使用上下文選單新增例外。
 |
注意新的例外可能需要幾分鐘才能生效。
|
您最多可以新增 10,000 個例外。若要為單一過濾器新增例外,請注意:
-
如果使用通配符,則最多可以新增三個與相同資料欄位關聯的物件值作為例外。
-
如果不使用通配符,則最多可以新增 100 個與相同資料欄位關聯的物件值作為例外。
有關詳細信息,請參閱For more information, see例外規則 。
步驟
- 在 Workbench 應用程式中,前往 All Alerts。
- 點選Workbench ID您要調查的警報。
- 在Highlights面板中,檢查每個事件所涉及的物件並選擇一個物件新增為例外。事件有兩種類型的物件:
-
觸發當前過濾器的突出顯示對象您只能將突出顯示的物件新增至例外。
-
納入影響範圍的實體由於影響範圍實體不是警報觸發條件,因此您不能將它們新增為例外。
-
- 右鍵點選要排除偵測的對象,然後選擇Add to Exceptions 。Add to Exceptions顯示目前偵測過濾器和選定的物件值。
- 若要使用通配符取代物件的某些部分,請選擇Edit using wildcards 。物件值支援以下元素:
-
.*:多字符替換 -
\:轉義字符如果物件值包含以下任何字符,請使用轉義字符反斜杠 (\) 來指示沒有特殊含義的普通字符:\ { } ( ) [ ] . + * ? ^ $ |
範例 1:符合所有。文件C:\\使用者\\Temp, 類型C:\\使用者\\Temp\\\.*\.exe 。範例 2:要匹配所有以 https://example.com/ 開頭的統一資源定位符 (URL),請輸入 https://example\.com/.*。 -
- 在Description 。
- 點選新增。