除外
ESET Inspectでは、受信イベントをルールと照合できます。ルールは、XMLベースの言語を使用して定義され、イベントプロパティ(モジュール名、ハッシュ、署名者、人気)に対する条件を記述します。
ルールは、イベント受信がRuleEngineコンポーネントに提供されるときに編集、有効化、または無効化できます。コンパイルされ、イベントと照合され、最終的に検出が発生します。
このため、一部の検出をフィルタリングして除外する必要があります。
ほとんどのフィルタリングはルールで使用されているのと同じプロパティに基づいているため、除外は同じルール言語を使用して定義されます。この方法の利点は、既存の機械学習を公正に再利用できることです。
通常、除外は既存のルールに厳密に関連しているため、編集ツールウィザードがあります。ウィザードでは、既存の検出に基づく除外ルール条件の初期値を提供されます。
フィルタリング、タグ、およびテーブルオプション
画面上部のフィルターを使用して、表示される項目を絞り込みます。タグは、特定のコンピューター、検出、インシデント、実行ファイル、またはスクリプトを検索するときに強力な機能です。メインテーブルを管理するには、テーブルオプションの
歯車アイコンをクリックします。
除外名をクリックすると、さらにアクションを実行できます。
編集 |
アップデートの除外ウィンドウが開きます。 |
|---|---|
有効 |
|
無効 |
|
削除 |
|
アクセスグループ |
現在割り当てられているアクセスグループが表示されます。移動をクリックして、アクセスグループを再割り当てします。 |
タグ |
既存のリストから検出タグを割り当てるか、カスタムタグを作成します。 |
フィルター |
コンテキストメニューをアクティブにした列にクイックフィルターを表示します(これのみを表示し、これを非表示にする)。 |
新しい除外 |
除外の作成ウィンドウが開きます。 |
エクスポート |
XMLファイルへのルールのエクスポート処理を開始します(Webブラウザーによって異なります)。 |
インポート |
XMLルールファイルをインポートするためのウィンドウが開きます。 |