Создание исключения для правила Адаптивного контроля аномалий

Для правил Адаптивного контроля аномалий невозможно создать более 1000 исключений. Не рекомендуется создавать более 200 исключений. Чтобы уменьшить количество используемых исключений, рекомендуется использовать маски в параметрах исключений.

Исключение для правила Адаптивного контроля аномалий включает в себя описание исходных и целевых объектов. Исходный объект – объект, который выполняет действия. Целевой объект – объект, над которым выполняются действия. Например, вы открыли файл file.xlsx. В результате в память компьютера была добавлена библиотека с расширением dll, которую использует браузер (исполняемый файл browser.exe). В данном примере file.xlsx – исходный объект, Excel – исходный процесс, browser.exe – целевой объект, Browser – целевой процесс.

Чтобы создать исключение для правила Адаптивного контроля аномалий, выполните следующие действия:

  1. В главном окне приложения нажмите на кнопку Значок настройки приложения в виде шестеренки..
  2. В окне параметров приложения в блоке Контроль безопасности и нажмите на плитку Адаптивный контроль аномалий.
  3. В блоке Правила нажмите на кнопку Изменить правила.

    Откроется список правил Адаптивного контроля аномалий.

  4. В таблице выберите правило.
  5. Нажмите на кнопку Изменить.

    Откроется окно свойств правила Адаптивного контроля аномалий.

  6. В блоке Исключения нажмите на кнопку Добавить.

    Откроется окно свойств исключения.

  7. Выберите пользователя, для которого вы хотите настроить исключение.

    Вы можете выбрать пользователей в Active Directory, из списка учетных записей в Kaspersky Security Center или ввести имя локального пользователя вручную. Специалисты "Лаборатории Касперского" рекомендуют использовать локальные учетные записи только в тех случаях, когда использовать доменные учетные записи невозможно.

    Адаптивный контроль аномалий не поддерживает исключения для групп пользователей. Если вы выберите группу пользователей, Kaspersky Endpoint Security не применит исключение.

  8. В поле Описание введите описание исключения.
  9. Задайте параметры исходного объекта или исходного процесса, запущенных объектом:
    • Исходный процесс. Путь или маска пути к файлу или папке с файлами (например, C:\Dir\File.exe или Dir\*.exe).
    • Хеш исходного процесса. Хеш файла.
    • Исходный объект. Путь или маска пути к файлу или папке с файлами (например, C:\Dir\File.exe или Dir\*.exe). Например, путь к файлу document.docm, который запускает целевые процессы с помощью скрипта или макроса.

      Вы также можете указать другие объекты для исключения, например, веб-адрес, макрос, команду в командной строке, путь реестра и другие. Укажите объект по следующему шаблону: object://<object>, где <object> – название объекта, например, object://web.site.example.com, object://VBA, object://ipconfig, object://HKEY_USERS. Вы также можете использовать маски, например, object://*C:\Windows\temp\*.

    • Хеш исходного объекта. Хеш файла.

    Правило Адаптивного контроля аномалий не распространяется на действия, выполняемые объектом, или на процессы, запущенные объектом.

  10. Задайте параметры целевого объекта или целевых процессов, запущенных над объектом.
    • Целевой процесс. Путь или маска пути к файлу или папке с файлами (например, C:\Dir\File.exe или Dir\*.exe).
    • Хеш целевого процесса. Хеш файла.
    • Целевой объект. Команда запуска целевого процесса. Укажите команду по следующему шаблону object://<command>, например, object://cmdline:powershell -Command "$result = 'C:\Windows\temp\result_local_users_pwdage.txt'". Также вы можете использовать маски, например, object://*C:\Windows\temp\*.
    • Хеш целевого объекта. Хеш файла.

    Правило Адаптивного контроля аномалий не распространяется на действия над объектом или на процессы, запущенные над объектом.

  11. Сохраните внесенные изменения.
В начало