加载中

规则例外

Elastic Stack Serverless Security

您可以将规则例外与检测规则和端点规则相关联,以防止受信任的进程和网络活动生成不必要的警报,从而减少误报的数量。

创建例外时,您可以将其分配给单个规则多个规则

例外(也称为例外项)包含确定何时不应生成警报的源事件条件。

您可以创建仅适用于单个规则的例外。其他规则无法使用这类例外,并且您必须从规则的详细信息页面进行管理。要详细了解如何创建和管理单个规则例外,请参阅添加和管理例外

An exception item
注意

您还可以使用值列表为检测规则定义例外。值列表允许您将例外与一系列可能的值进行匹配。

如果您希望例外应用于多个规则,可以将例外添加到共享例外列表中。共享例外列表允许您将例外分组,然后将它们与多个规则相关联。有关更多信息,请参阅创建和管理共享例外列表

Shared Exception Lists page
© . This site is unofficial and not affiliated with Elasticsearch BV.