Создание и изменение исключения для правила Адаптивного контроля аномалий

Для правил Адаптивного контроля аномалий невозможно создать более 1000 исключений. Не рекомендуется создавать более 200 исключений. Чтобы уменьшить количество используемых исключений, рекомендуется использовать маски в параметрах исключений.

Исключение для правила Адаптивного контроля аномалий включает в себя описание исходных и целевых объектов. Исходный объект – объект, который выполняет действия. Целевой объект – объект, над которым выполняются действия. Например, вы открыли файл file.xlsx. В результате в память компьютера была добавлена библиотека с расширением dll, которую использует браузер (исполняемый файл browser.exe). В данном примере file.xlsx – исходный объект, Excel – исходный процесс, browser.exe – целевой объект, Browser – целевой процесс.

Чтобы создать или изменить исключение для правила Адаптивного контроля аномалий, выполните следующие действия:

  1. В главном окне программы нажмите на кнопку Настройка.
  2. В левой части окна в разделе Контроль безопасности выберите подраздел Адаптивный контроль аномалий.

    В правой части окна отобразятся параметры компонента Адаптивный контроль аномалий.

  3. В таблице в правой части окна выберите правило.
  4. Нажмите на кнопку Изменить.

    Откроется окно Правило Адаптивного контроля аномалий.

  5. Выполните одно из следующих действий:
    • Если вы хотите добавить исключение, нажмите на кнопку Добавить.
    • Если вы хотите изменить существующее исключение, выберите строку в таблице Исключения и нажмите на кнопку Изменить.

    Откроется окно Исключение из правила.

  6. В поле Описание введите описание исключения.
  7. Нажмите на кнопку Обзор рядом с полем Пользователь, чтобы указать пользователей, на которых распространяется исключение.

    Откроется стандартное окно Microsoft Windows Выбор пользователей или групп.

  8. Задайте параметры исходного объекта или исходного процесса, запущенных объектом:
    • Исходный процесс. Путь или маска пути к файлу или папке с файлами (например, С:\Dir\File.exe или Dir\*.exe).
    • Хеш исходного процесса. Хеш файла.
    • Исходный объект. Путь или маска пути к файлу или папке с файлами (например, С:\Dir\File.exe или Dir\*.exe). Например, путь к файлу document.docm, который запускает целевые процессы с помощью скрипта или макроса.

      Вы также можете указать другие объекты для исключения, например, веб-адрес, макрос, команду в командной строке, путь реестра и другие. Укажите объект по следующему шаблону: object://<объект>, где <объект> – название объекта, например, object://web.site.example.com, object://VBA, object://ipconfig, object://HKEY_USERS. Вы также можете использовать маски, например, object://*C:\Windows\temp\*.

    • Хеш исходного объекта. Хеш файла.

    Правило Адаптивного контроля аномалий не распространяется на действия, выполняемые объектом, или на процессы, запущенные объектом.

  9. Задайте параметры целевого объекта или целевых процессов, запущенных над объектом.
    • Целевой процесс. Путь или маска пути к файлу или папке с файлами (например, С:\Dir\File.exe или Dir\*.exe).
    • Хеш целевого процесса. Хеш файла.
    • Целевой объект. Команда запуска целевого процесса. Укажите команду по следующему шаблону object://<команда>, например, object://cmdline:powershell -Command "$result = 'C:\windows\temp\result_local_users_pwdage.txt'". Также вы можете использовать маски, например, object://*C:\windows\temp\*.
    • Хеш целевого объекта. Хеш файла.

    Правило Адаптивного контроля аномалий не распространяется на действия над объектом или на процессы, запущенные над объектом.

  10. В окне Исключение из правила нажмите на кнопку OK.
  11. В окне Правило Адаптивного контроля аномалий нажмите на кнопку OK.
  12. Нажмите на кнопку Сохранить, чтобы сохранить внесенные изменения.
В начало