アラート除外
変更を提案
PDF
アラート除外機能を使用すると、特定のファイルの種類、ユーザー、ディレクトリパスに対するアラートの生成を抑制できます。これを使用すると、アラートパターンに一致する可能性のある既知の想定されるアクティビティを除外することで、誤検知を減らすことができます。
イベントに関するアラートのみが抑制されることに注意してください。イベント自体は引き続き記録され、確認できます。
*ワークロード セキュリティ > ポリシー*に移動し、*アラートの除外*タブを選択します。
アラート除外はテナントごとに設定され、以下の項目が含まれます:
-
ファイルタイプ:特定の許可されているファイルタイプでファイル改ざんアラートを抑制する
-
ユーザー:選択したユーザーによってトリガーされたアラートを抑制します。
-
パス:選択したディレクトリパス(ジャンクションパスから始まる最大4階層)でのアクティビティに関するアラートを抑制します。
除外事項と監査を管理する
-
管理者は、ファイル拡張子、個々のユーザー、またはパスをいつでも追加または削除できます。
-
各除外エントリには、それを設定した管理者の名前と設定日が記録されます。この情報は監査のために保管されます。
ユーザーとパス
-
ユーザー除外リスト:アラートの対象から除外するユーザーを追加します。
-
ディレクトリ除外リスト:ジャンクションパスから始まる最大4階層のディレクトリパスをサポートします。
個々のユーザーおよびディレクトリパスは、それぞれの除外リストに追加または削除できます。各リストのすべてのエントリには、いつ誰によってリストに追加されたかの情報が含まれており、この情報は監査目的で使用されます。
ファイルタイプ
ファイルタイプリストに追加されると、その許可されたファイルタイプに対してファイル改ざん攻撃のアラートは生成されなくなります。ファイルタイプポリシーは、ファイル改ざんの検出にのみ適用されることに注意してください。
例えば、test.txt という名前のファイルが test.txt.abc に名前変更され、Workload Security が .abc 拡張子によってランサムウェア攻撃を検出した場合、.abc 拡張子を 許可されたファイル タイプ リストに追加できます。リストに追加されると、拡張子が .abc のファイルに対してランサムウェア攻撃は発生しなくなります。
許可されるファイルタイプは、完全一致(例:「.abc」)または式(例:.*type、.type*、または.*type*)です。.a*c、.p*f タイプの式はサポートされていません。
監査のために、「Set By」と「Set Date」という追加属性が導入されました。既存のファイルタイプは、これらの属性の値が両方とも「migrated」に設定された状態で、新しい形式に移行されます。