Sie helfen Ihnen bei der Erstellung flexibler und wartbarer Unterdrückungsregeln, für die Parameter der Unterdrückungsregeln für akzeptiertes Verhalten sind Platzhalter verfügbar. Mit Platzhaltern können Sie Muster anstelle von exakten Werten abgleichen und so wiederkehrende oder ähnliche Ereignisse leichter unterdrücken, ohne mehrere Regeln zu erstellen.
Was sind Wildcards?
Mit Platzhaltern können Sie Unterdrückungsregeln definieren, indem Sie Teilübereinstimmungen anstelle von exakten Zeichenfolgen verwenden. Dies ist besonders nützlich, wenn die Werte leicht variieren, z. B. bei Dateinamen, Pfaden oder Benutzernamen.
Die folgenden Platzhalterzeichen werden unterstützt:
* - passt auf eine beliebige Folge von Zeichen (auch auf leere)
Beispiel: *.exe passt zu file.exe, test.exe, .exe? - passt auf jedes einzelne Zeichen
Beispiel: Datei?.txt passt zu file1.txt, DateiA.txt
Um Platzhalterzeichen als Literalwerte zu behandeln, verwenden Sie den Backslash (\) als Escape-Zeichen:
\* - passt auf ein buchstäbliches Sternchen
Beispiel: test\*.txt passt zu test*.txt\? - entspricht einem wörtlichen Fragezeichen
Beispiel: test\?.txt passt zu test?.txt
Unterstützte Parameter
Wildcards werden in Unterdrückungsregeln für akzeptiertes Verhalten unterstützt, wenn sie mit den folgenden Parametern übereinstimmen:
- Name des Prozesses
- Prozessweg
- Befehlszeile verarbeiten
- Benutzername
- Name des übergeordneten Prozesses
- Pfad des übergeordneten Prozesses
Verwendung von Wildcards
Sie können Unterdrückungsregeln, die auf Platzhaltern basieren, auf zwei Arten erstellen oder bearbeiten:
- Von Ereignisse → Allgemeine Kontexterkennungenbeim Schließen einer Erkennung als Akzeptiertes Verhalten und wählen Sie die Erstellung einer Unterdrückungsregel.
- Von Sicherheitskonfigurationen → Automatisierte Aktionen → Unterdrückungsregeln, indem Sie eine bestehende Regel bearbeiten.
Wählen Sie in beiden Bewegungen Platzhalter für den gewählten Parameter im Schritt Parameter, dann definieren Sie das Muster mit *, ?oder nach Bedarf auch mit maskierten Zeichen.
Durch die Verwendung von Platzhaltern wird die Duplizierung von Regeln reduziert, die Konfigurationen bleiben übersichtlicher und die Unterdrückungsregeln sind im Laufe der Zeit leichter zu pflegen.
