建立自訂例外集時,新增規則並選取Ignore for Telemetry(忽略遙測)例外類型。Ignore for(忽略)下拉式功能表將填入相關的遙測忽略規則。
注意:
這些自訂例外類型不適用於棄用的遙測版本。
- 忽略遙測—執行程序
- 這是針對程序執行(exec)事件,並且是正在執行的目標程序。
- 忽略遙測—來源程序
- 這是導致基礎活動被監控並報告為遙測事件的程序。
- 忽略遙測—來源父程序
- 這是直接建立來源程序的父程序。
- 忽略遙測—來源負責程序
- 此程序負責來源程序的存在,並負責導致其建立的活動鏈。
選取所需的遙測自訂忽略類型後,配置以下後續忽略規則:
| 遙測忽略規則 | 忽略規則子欄位 | 遙測訊息欄位 | 說明 |
|---|---|---|---|
| 應用程式簽署資訊 | Team ID | 執行程序例外:
來源程序例外:
| |
| 應用程式簽署資訊 | Signing ID (簽署 ID) | 執行程序例外: 來源程序例外:
| |
| Team ID | 執行程序例外:
來源程序例外:
| ||
| 處理程序路徑 | 執行程序例外: event.exec.target.executable.path 來源程序例外:
| ||
| 平台二進位檔案 | 執行程序例外: 來源程序例外:
| 遙測訊息中的event.exec.target.is_platform_binary或process.is_platform_binary欄位必須為真。 | |
| 使用者 | 執行程序例外: 來源程序例外:
| 將檢查有效使用者的ID,是否與忽略規則中提供的使用者名稱相符。 | |
| Group (群組) | 執行程序例外: 來源程序例外:
| 將檢查有效使用者群組的ID,是否與忽略規則中提供的使用者群組名稱相符。 |