Nie możesz utworzyć więcej niż 1 000 wykluczeń dla reguł Adaptacyjnej kontroli anomalii. Nie jest zalecane tworzenie więcej niż 200 wykluczeń. Aby zmniejszyć liczbę używanych wykluczeń, zalecane jest używanie masek w ustawieniach wykluczeń.
Wykluczenie dla reguły Adaptacyjnej kontroli anomalii zawiera opis obiektów źródłowych i docelowych. Obiekt źródłowy to obiekt wykonujący działania. Obiekt docelowy to obiekt, na którym wykonywane są działania. Na przykład, otworzyłeś plik o nazwie file.xlsx
. W rezultacie biblioteka z rozszerzeniem DLL, używana przez przeglądarkę (plik wykonywalny o nazwie browser.exe
), została dodana do pamięci komputera. W tym przykładzie file.xlsx
to obiekt źródłowy, Excel to proces źródłowy, browser.exe
to obiekt docelowy, a Browser to proces docelowy.
W celu utworzenia lub zmodyfikowania wykluczenia dla reguły Adaptacyjnej kontroli anomalii:
Ustawienia modułu Adaptacyjna kontrola anomalii są wyświetlane w prawej części okna.
Zostanie otwarte okno Reguła Adaptacyjnej kontroli anomalii.
Zostanie otwarte okno Wykluczenie z reguły.
Zostanie otwarte standardowe okno Wybierz użytkowników lub grupy z Microsoft Windows.
С:\Dir\File.exe
lub Dir\*.exe
).С:\Dir\File.exe
lub Dir\*.exe
). Na przykład, ścieżka do pliku document.docm
, która wykorzystuje skrypt lub makro do uruchamiania procesów docelowych.Możesz także określić inne obiekty, które powinny zostać wykluczone, takie jak adres internetowy, makra, polecenie w wierszu polecenia, ścieżka do rejestru lub inne. Określ obiekt zgodnie z następującym szablonem: object://<obiekt>,
gdzie <obiekt>
odnosi się do nazwy obiektu, na przykład, object://web.site.example.com
, object://VBA, object://ipconfig
, object://HKEY_USERS
. Można też użyć masek, na przykład, object://*C:\Windows\temp\*
.
Reguła Adaptacyjnej kontroli anomalii nie jest stosowana do działań wykonywanych przez obiekt lub do procesów uruchomionych przez obiekt.
С:\Dir\File.exe
lub Dir\*.exe
).object://<polecenie>
, na przykład: object://cmdline:powershell -Command "$result = 'C:\windows\temp\result_local_users_pwdage txt'""
. Można też użyć masek, na przykład: object://*C:\windows\temp\*
.Reguła Adaptacyjnej kontroli anomalii nie jest stosowana do działań podejmowanych na obiekcie lub do procesów uruchomionych na obiekcie.