规则例外
Elastic Stack Serverless Security
您可以将规则例外与检测和端点规则关联,以防止受信任的进程和网络活动生成不必要的警报,从而减少误报的数量。
例外,也称为例外项,包含用于确定何时不应生成警报的源事件条件。
您可以创建仅适用于单个规则的例外。 这些类型的例外不能被其他规则使用,您必须从规则的详细信息页面管理它们。 要了解有关创建和管理单规则例外的更多信息,请参阅添加和管理例外。
注意
您还可以使用值列表来定义检测规则的例外。 值列表允许您将例外与可能的数值列表进行匹配。
如果您希望例外应用于多个规则,您可以将例外添加到共享例外列表中。 共享例外列表允许您将例外组合在一起,然后将它们与多个规则关联。 请参阅创建和管理共享例外列表以了解更多信息。
