檢視次數:

將突出顯示的物件和事件添加為例外,以減少已啟動的檢測模型/過濾器中的警報疲勞和過多的誤報。

注意
注意
有兩種類型的例外:
  • 自訂例外源自Detection Model Management (Agentic SIEM and XDRDetection Model ManagementExceptions),並使用目標、事件來源和匹配標準來定義要從檢測模型和過濾器中排除的突出顯示物件和事件。
  • 內容選單例外源自WorkbenchObserved Attack Techniques,並使用檢測模型/過濾器匹配標準來定義要從檢測中排除的突出顯示對象和事件。
例外包含以下資訊:
說明
例外 ID
例外 ID
名稱
例外名稱
注意
注意
從上下文選單產生的例外沒有名稱。
目標
您想要從偵測中排除的已標示物件或事件的位置資訊
範例:您可以使用端點 GUID 排除特定端點上的高亮顯示物件。
事件來源 / 篩選
  • 事件來源:您想要從偵測中排除的事件類型
    範例:您可以使用「ENDPOINT_ACTIVITY」事件類型、「TELEMETRY_FILE」事件 ID 和「TELEMETRY_FILE_CREATE」事件子 ID 排除端點上的檔案建立事件。
  • 篩選器:檢測模型篩選器將該對象識別為安全威脅指標(上下文選單例外)
符合條件
已排除偵測的高亮顯示物件或事件
範例:您可以使用「file_sha1」類型、「attachmentFileHash」欄位以及檔案附件的SHA-1來排除特定的檔案附件。
說明
關於此例外的其他資訊
上次更新時間
例外項目最後更新的日期和時間
建立/更新者
創建或最後更新例外的使用者
如需了解更多關於編輯自訂例外的資訊,請參閱編輯自訂例外狀況
相關資訊