Tworzenie i edytowanie wykluczenia dla reguły Adaptacyjnej kontroli anomalii

Nie możesz utworzyć więcej niż 1 000 wykluczeń dla reguł Adaptacyjnej kontroli anomalii. Nie jest zalecane tworzenie więcej niż 200 wykluczeń. Aby zmniejszyć liczbę używanych wykluczeń, zalecane jest używanie masek w ustawieniach wykluczeń.

Wykluczenie dla reguły Adaptacyjnej kontroli anomalii zawiera opis obiektów źródłowych i docelowych. Obiekt źródłowy to obiekt wykonujący działania. Obiekt docelowy to obiekt, na którym wykonywane są działania. Na przykład, otworzyłeś plik o nazwie file.xlsx. W rezultacie biblioteka z rozszerzeniem DLL, używana przez przeglądarkę (plik wykonywalny o nazwie browser.exe), została dodana do pamięci komputera. W tym przykładzie file.xlsx to obiekt źródłowy, Excel to proces źródłowy, browser.exe to obiekt docelowy, a Browser to proces docelowy.

W celu utworzenia lub zmodyfikowania wykluczenia dla reguły Adaptacyjnej kontroli anomalii:

  1. W oknie głównym aplikacji kliknij przycisk Ustawienia.
  2. W lewej części okna, w sekcji Kontrola zabezpieczeń wybierz podsekcję Adaptacyjna kontrola anomalii.

    Ustawienia modułu Adaptacyjna kontrola anomalii są wyświetlane w prawej części okna.

  3. W tabeli w prawej części okna wybierz regułę.
  4. Kliknij przycisk Edytuj.

    Zostanie otwarte okno Reguła Adaptacyjnej kontroli anomalii.

  5. Wykonaj jedną z poniższych czynności:
    • Jeżeli chcesz dodać wykluczenie, kliknij przycisk Dodaj.
    • Jeżeli chcesz zmodyfikować istniejące wykluczenie, w tabeli Wykluczenia wybierz rząd i kliknij przycisk Edytuj.

    Zostanie otwarte okno Wykluczenie z reguły.

  6. W polu Opis wprowadź opis wykluczenia.
  7. Kliknij przycisk Przeglądaj obok pola Użytkownik, aby określić użytkowników, do których stosowane jest wykluczenie.

    Zostanie otwarte standardowe okno Wybierz użytkowników lub grupy z Microsoft Windows.

  8. Zdefiniuj ustawienia obiektu źródłowego lub procesu źródłowego uruchomionego przez obiekt:
    • Proces źródłowy. Ścieżka lub maska ścieżki do pliku lub folderu zawierającego pliki (na przykład: С:\Dir\File.exe lub Dir\*.exe).
    • Suma kontrolna procesu źródłowego. Suma kontrolna pliku.
    • Obiekt źródłowy. Ścieżka lub maska ścieżki do pliku lub folderu zawierającego pliki (na przykład: С:\Dir\File.exe lub Dir\*.exe). Na przykład, ścieżka do pliku document.docm, która wykorzystuje skrypt lub makro do uruchamiania procesów docelowych.

      Możesz także określić inne obiekty, które powinny zostać wykluczone, takie jak adres internetowy, makra, polecenie w wierszu polecenia, ścieżka do rejestru lub inne. Określ obiekt zgodnie z następującym szablonem: object://<obiekt>, gdzie <obiekt> odnosi się do nazwy obiektu, na przykład, object://web.site.example.com, object://VBA, object://ipconfig, object://HKEY_USERS. Można też użyć masek, na przykład, object://*C:\Windows\temp\*.

    • Suma kontrolna obiektu źródłowego. Suma kontrolna pliku.

    Reguła Adaptacyjnej kontroli anomalii nie jest stosowana do działań wykonywanych przez obiekt lub do procesów uruchomionych przez obiekt.

  9. Zdefiniuj ustawienia obiektu docelowego lub procesów docelowych uruchomionych na obiekcie.
    • Proces docelowy. Ścieżka lub maska ścieżki do pliku lub folderu zawierającego pliki (na przykład: С:\Dir\File.exe lub Dir\*.exe).
    • Suma kontrolna procesu docelowego. Suma kontrolna pliku.
    • Obiekt docelowy. Polecenie uruchamiające proces docelowy. Określ polecenie, używając następującego wzoru object://<polecenie>, na przykład: object://cmdline:powershell -Command "$result = 'C:\windows\temp\result_local_users_pwdage txt'"". Można też użyć masek, na przykład: object://*C:\windows\temp\*.
    • Suma kontrolna obiektu docelowego. Suma kontrolna pliku.

    Reguła Adaptacyjnej kontroli anomalii nie jest stosowana do działań podejmowanych na obiekcie lub do procesów uruchomionych na obiekcie.

  10. Kliknij OK w oknie Wykluczenie z reguły.
  11. Kliknij OK w oknie Reguła Adaptacyjnej kontroli anomalii.
  12. W celu zapisania zmian należy kliknąć przycisk Zapisz.
Przejdź do góry