例外排除指定的對象和事件,從檢測模型中排除,以幫助減少誤報和警報疲勞。
有兩種類型的例外:
-
自訂例外:源自Detection Model Management。自訂例外使用目標、事件來源和匹配條件來定義要從檢測中排除的對象和事件。
-
內容選單例外:源自 Workbench 和 Observed Attack Techniques 的內容選單。內容選單例外使用檢測模型篩選器和匹配標準來定義要從檢測中排除的對象和事件。
例外包含以下資訊:
|
欄
|
說明
|
||
|
例外 ID
|
例外的唯一識別碼
|
||
|
名稱
|
例外名稱
|
||
|
目標
|
您想要從偵測中排除的物件或事件的位置資訊
例如,您可以使用端點的全域唯一識別碼 (GUID) 來排除特定端點上的物件。
|
||
|
事件來源 / 篩選
|
|
||
|
符合條件
|
排除在偵測範圍外的物件或事件
例如,您可以使用file_sha1類型、attachmentFileHash欄位和檔案附件的 SHA-1 來排除特定的檔案附件。
|
||
|
說明
|
關於此例外的其他資訊
|
||
|
上次更新時間
|
例外項目最後更新的日期和時間
|
||
|
建立/更新者
|
創建或最後更新例外的使用者
|
