Pour vous aider à créer des règles de suppression plus souples et plus faciles à gérer, des caractères génériques sont disponibles pour les paramètres des règles de suppression des comportements acceptés. Les caractères génériques vous permettent de faire correspondre des modèles plutôt que des valeurs exactes, ce qui facilite la suppression d'événements récurrents ou similaires sans avoir à créer plusieurs règles.
Qu'est-ce qu'un joker ?
Les caractères génériques vous permettent de définir des règles de suppression en utilisant des correspondances partielles plutôt que des chaînes exactes. Cela s'avère particulièrement utile lorsque les valeurs varient légèrement, comme les noms de fichiers, les chemins d'accès ou les noms d'utilisateurs.
Les caractères génériques suivants sont pris en charge :
* - correspond à n'importe quelle séquence de caractères (y compris vide)
Exemple : *.exe correspondances file.exe, test.exe, .exe? - correspond à n'importe quel caractère unique
Exemple : fichier ?.txt correspondances fichier1.txt, fichierA.txt
Pour traiter les caractères génériques comme des valeurs littérales, utilisez la barre oblique inverse (\) comme caractère d'échappement :
\* - correspond à un astérisque littéral
Exemple : test\*.txt correspondances test*.txt\ ? - correspond à un point d'interrogation littéral
Exemple : test ?.txt correspondances test ?.txt
Paramètres pris en charge
Les caractères génériques sont pris en charge dans les règles de suppression des comportements acceptés lorsqu'ils correspondent aux paramètres suivants :
- Nom du processus
- Trajectoire du processus
- Ligne de commande du processus
- Nom d'utilisateur
- Nom du processus parent
- Chemin du processus parent
Comment utiliser les caractères génériques
Vous pouvez créer ou modifier des règles de suppression basées sur des caractères génériques de deux manières :
- De Événements → Détections de contextes largesLors de la fermeture d'une détection en tant que Comportement accepté et choisir de créer une règle de suppression.
- De Configurations de sécurité → Actions automatisées → Règles de suppressionen modifiant une règle existante.
Dans les deux flux, sélectionnez Carte joker pour le paramètre choisi à l'étape Paramètres, puis définir le motif en utilisant *, ?ou des caractères échappés si nécessaire.
L'utilisation de caractères génériques permet de réduire la duplication des règles, de conserver des configurations plus propres et de faciliter la mise à jour des règles de suppression au fil du temps.
