Pour réduire les faux positifs ou les événements en double dans vos résultats de détection, vous pouvez créer des exceptions pour les règles de détection. Lorsque vous créez une exception de détection, les processus spécifiés ne sont pas évalués par le moteur de détection Aurora Focus. Soyez prudent lorsque vous créez des exceptions de détection, car elles peuvent réduire la sécurité globale des terminaux.
Remarque : Si vous créez et activez une exception de règle qui utilise uniquement des correspondances regex pour des conditions, cela peut entraîner une utilisation du CPU plus élevée que la normale sur certains systèmes avec un nombre d'événements constamment élevé, en raison de l'exception de règle exécutée sur chaque événement. Si vous rencontrez ce problème, Arctic Wolf recommande de désactiver l'exception de règle qui utilise les correspondances regex pour les conditions.
- Dans la barre de menus de la console de gestion, cliquez sur Focus > Configurations.
- Dans l'onglet Exceptions, cliquez sur Créer une exception.
- Saisissez un nom pour l'exception de détection.
- Dans la section Conditions, configurez les conditions d'exception. Cliquez sur Ajouter une autre condition pour configurer des exceptions supplémentaires.
Dans une exception de détection, une instruction AND est appliquée à toutes les conditions. Toutes les conditions doivent être remplies pour que l'exception soit vraie. Lorsque vous spécifiez une valeur pour une condition, elle est traitée comme une instruction ANY. Lorsque deux valeurs ou plus sont ajoutées, si l'une de ces valeurs existe, la condition est vraie.
- Cliquez sur Enregistrer.
Dans la barre de menus, cliquez sur Focus > Configurations, puis cliquez sur l'onglet Jeux de règles. Modifiez un jeu de règles de détection et attribuez l'exception de détection aux règles souhaitées. Cliquez sur Confirmer.
