规则例外
编辑规则例外
编辑您可以将规则例外与检测和端点规则关联,以防止受信任的进程和网络活动生成不必要的警报,从而减少误报的数量。
单个规则的例外
编辑例外,也称为例外项,包含确定何时不应生成警报的源事件条件。
您可以创建仅适用于单个规则的例外。这些类型的例外不能被其他规则使用,您必须从规则的详细信息页面管理它们。要了解有关创建和管理单规则例外的更多信息,请参阅添加和管理例外。
您还可以使用值列表来定义检测规则的例外。值列表允许您将例外与可能的取值列表进行匹配。
在多个规则之间共享的例外
编辑如果您希望例外应用于多个规则,可以将例外添加到共享例外列表。共享例外列表允许您将例外分组在一起,然后将它们与多个规则关联。有关详细信息,请参阅创建和管理共享例外列表。
