Ausnahme für eine Regel der Adaptiven Kontrolle von Anomalien erstellen oder ändern

Für die Regeln der Adaptiven Kontrolle von Anomalien können maximal 1.000 Ausnahmen erstellt werden. Es wird davon abgeraten, mehr als 200 Ausnahmen zu erstellen. Um die Anzahl der verwendeten Ausnahmen zu reduzieren, können in den Ausnahmeeinstellungen Masken angegeben werden.

Eine Ausnahme für eine Regel der "Adaptiven Kontrolle von Anomalien" enthält eine Beschreibung der Quell- und Zielobjekte. Quellobjekt – Objekt, das Aktionen ausführt. Zielobjekt – Objekt, mit dem Aktionen ausgeführt werden. Beispiel: Sie haben die Datei file.xlsx geöffnet. Dadurch wurde zum Arbeitsspeicher des Computers eine Bibliothek mit der Erweiterung dll hinzugefügt, die vom Browser (ausführbare Datei browser.exe) verwendet wird. In diesem Beispiel ist file.xlsx das Quellobjekt, Excel der Quellprozess, browser.exe das Zielobjekt, und der Browser der Zielprozess.

Um eine Ausnahme für eine Regel der Adaptiven Kontrolle von Anomalien zu erstellen oder zu ändern, gehen Sie wie folgt vor:

1. Klicken Sie im Programmhauptfenster auf Einstellungen.
2. Wählen Sie im Fenster mit den Programmeinstellungen den Abschnitt Sicherheitskontrolle → Adaptive Kontrolle von Anomalien aus.
3. Wählen Sie in der Tabelle im rechten Fensterbereich eine Regel aus.
4. Klicken Sie auf Ändern.

   Das Fenster Regel für die Adaptive Kontrolle von Anomalien wird geöffnet.

5. Führen Sie eine der folgenden Aktionen aus:
   • Klicken Sie auf Hinzufügen, um eine Ausnahme hinzuzufügen.
   • Um eine vorhandene Ausnahme zu ändern, wählen Sie in der Tabelle Ausnahmen eine Zeile aus und klicken Sie auf Ändern.

   Das Fenster Ausnahme von der Regel wird geöffnet.

6. Geben Sie im Feld Beschreibung eine Beschreibung für die Ausnahme ein.
7. Klicken Sie neben dem Feld Benutzer auf die Schaltfläche Durchsuchen , um die Benutzer anzugeben, auf welche sich die Ausnahme beziehen soll.

   Das Windows-Standardfenster Benutzer oder Gruppen wählen wird geöffnet.

8. Geben Sie die Einstellungen des Quellobjekts oder des Quellprozesses an, die von dem Objekt gestartet wurden:
   • Quellprozess. Pfad oder Pfadmaske für eine Datei oder für einen Ordner mit Dateien (z. B. С:\Dir\File.exe oder Dir\*.exe).
   • Hash des Quellprozesses. Datei-Hash.
   • Quellobjekt. Pfad oder Pfadmaske für eine Datei oder für einen Ordner mit Dateien (z. B. С:\Dir\File.exe oder Dir\*.exe). Beispiel: Pfad der Datei document.docm, welche die Zielprozesse mithilfe eines Skripts oder Makros startet.

     Sie können auch andere Objekte für eine Ausnahme angeben, beispielsweise eine Webadresse, ein Makro, einen Befehl in der Befehlszeile, einen Registrierungspfad und andere. Geben Sie das Objekt nach der folgenden Vorlage an: object://<Objekt>, wobei <Objekt> für den Namen des Objekts steht. Beispiele: object://web.site.example.com, object://VBA, object:\ipconfig, object://HKEY_USERS. Sie können auch Masken verwenden, beispielsweise object://*C:\Windows\temp\*.

   • Hash des Quellobjekts. Datei-Hash.

   Die Regel für die "Adaptive Kontrolle von Anomalien" erstreckt sich nicht auf die Aktionen, die von dem Objekt ausgeführt werden, oder auf Prozesse, die von dem Objekt gestartet werden.

9. Geben Sie die Einstellungen des Zielobjekts oder der Zielprozesse an, die mit dem Objekt ausgeführt wurden.
   • Zielprozess. Pfad oder Pfadmaske für eine Datei oder für einen Ordner mit Dateien (z. B. С:\Dir\File.exe oder Dir\*.exe).
   • Hash des Zielprozesses. Datei-Hash.
   • Zielobjekt. Befehl zum Starten des Zielprozesses. Geben Sie den Befehl nach folgender Vorlage an object://<Befehl>, beispielsweise object://cmdline:powershell -Command "$result = 'C:\windows\temp\result_local_users_pwdage.txt'". Sie können auch Masken verwenden, beispielsweise object://*C:\windows\temp\*.
   • Hash des Zielobjekts. Datei-Hash.

   Die Regel für die "Adaptive Kontrolle von Anomalien" erstreckt sich nicht auf die Aktionen mit dem Objekt oder auf die Prozesse, die mit dem Objekt ausgeführt werden.

10. Speichern Sie die vorgenommenen Änderungen.

Nach oben