规则异常
编辑规则异常
编辑您可以将规则异常与检测和端点规则关联,以防止受信任的进程和网络活动生成不必要的告警,从而减少误报数量。
单个规则的异常
编辑异常,也称为异常项,包含确定何时不应生成告警的源事件条件。
您可以创建仅适用于单个规则的异常。这些类型的异常不能被其他规则使用,并且您必须从规则的详细信息页面管理它们。要了解有关创建和管理单规则异常的更多信息,请参阅添加和管理异常。
您还可以使用值列表来定义检测规则的异常。值列表允许您将异常与可能值的列表进行匹配。
多个规则共享的异常
编辑如果希望异常应用于多个规则,则可以将异常添加到共享异常列表中。共享异常列表允许您将异常组合在一起,然后将其与多个规则关联。请参阅创建和管理共享异常列表以了解更多信息。
