アラート除外
変更を提案
PDF
アラート除外機能を使用すると、特定のファイルの種類、ユーザー、ディレクトリパスに対するアラートの生成を抑制できます。これを使用すると、アラートパターンに一致する可能性のある既知の想定されるアクティビティを除外することで、誤検知を減らすことができます。
*ワークロード セキュリティ > ポリシー*に移動し、*アラートの除外*タブを選択します。
アラート除外はテナントごとに設定され、以下の項目が含まれます:
-
ファイルタイプ:特定の許可されているファイルタイプでファイル改ざんアラートを抑制する
-
ユーザー:選択したユーザーによってトリガーされたアラートを抑制します。
-
パス:選択したディレクトリパス(ジャンクションパスから始まる最大4階層)でのアクティビティに関するアラートを抑制します。
ユーザーの除外リストは先行入力でサポートされており、管理者はアラートから除外するユーザーを選択できます。
ディレクトリ除外機能は、ジャンクションパスから始まる最大4階層のディレクトリパスをサポートします。
個々のユーザーおよびディレクトリパスは、それぞれの除外リストに追加または削除できます。各リストのすべてのエントリには、いつ誰によってリストに追加されたかの情報が含まれており、この情報は監査目的で使用されます。
除外事項と監査を管理する
-
管理者は、ファイル拡張子、個々のユーザー、またはパスをいつでも追加または削除できます。
-
各除外エントリには、それを設定した管理者の名前と設定日が記録されます。この情報は監査のために保持されます。
許可されているファイルタイプ
ファイル拡張子を_許可されたファイルタイプ_のリストに追加することで、不要なアラートの発生を防ぐことができます。
+File Type を選択して、アラートで許可されるファイルタイプのリストにファイルタイプを追加します。
許可されたファイル タイプ リストに追加されると、その許可されたファイル タイプに対してファイル改ざん攻撃アラートは生成されなくなります。許可されるファイルの種類 ポリシーは、ファイルの改ざん検出にのみ適用されることに注意してください。
例えば、test.txt という名前のファイルが test.txt.abc に名前変更され、Workload Security が .abc 拡張子によってランサムウェア攻撃を検出した場合、.abc 拡張子を 許可されたファイル タイプ リストに追加できます。リストに追加されると、拡張子が .abc のファイルに対してランサムウェア攻撃は発生しなくなります。
許可されるファイルタイプは、完全一致(例:「.abc」)または式(例:.*type、.type*、または.*type*)です。.a*c、.p*f タイプの式はサポートされていません。