Creación y modificación de una exclusión para una regla del Control de anomalías adaptativo

No es posible crear más de 1000 exclusiones para las reglas del Control de anomalías adaptativo. No se recomienda crear más de 200 exclusiones. Si necesita reducir el número de exclusiones que utiliza, considere usar máscaras en la configuración de las exclusiones.

Una exclusión de una regla del Control de anomalías adaptativo incluye una descripción de los objetos de origen y de destino. El objeto de origen es el que realiza las acciones. El objeto de destino es el que se ve afectado por dichas acciones. Por ejemplo, abre un archivo de nombre archivo.xlsx. Por lo tanto, se carga un archivo de la biblioteca con la extensión DLL en la memoria del equipo. Un navegador utiliza esta biblioteca (cuyo archivo ejecutable es navegador.exe). En el marco de este ejemplo, archivo.xlsx es el objeto de origen, Excel es el proceso de origen, navegador.exe es el objeto de destino y Navegador es el proceso de destino.

Para crear o modificar una exclusión para una regla del Control de anomalías adaptativo:

En la ventana principal de la aplicación, haga clic en el botón Configuración.
En la ventana de configuración de la aplicación, seleccione Controles de seguridad → Control de anomalías adaptativo.
En la tabla que verá en la derecha de la ventana, seleccione una regla.
Haga clic en el botón Modificar.
Se abre la ventana Regla del Control de anomalías adaptativo.
Realice una de las siguientes acciones:
- Para agregar una exclusión, haga clic en el botón Agregar.
- Para modificar una exclusión que ya exista, seleccione la fila correspondiente en la tabla Exclusiones y haga clic en el botón Modificar.
Se abre la ventana Exclusión de la regla.
En el campo Descripción, describa la exclusión.
Haga clic en el botón Examinar ubicado junto al campo Usuario para especificar a quiénes afectará la exclusión.
Se abre la ventana Seleccionar Usuarios o Grupos estándar de Microsoft Windows.
Defina los parámetros del objeto de origen o del proceso de origen iniciado por el objeto:
- Proceso de origen. Ruta (o máscara de ruta) de acceso al archivo o a una carpeta con archivos (por ejemplo, С:\Dir\Archivo.exe o Dir\*.exe).
- Hash del proceso de origen. Código hash de archivo.
- Objeto de origen. Ruta (o máscara de ruta) de acceso al archivo o a una carpeta con archivos (por ejemplo, С:\Dir\Archivo.exe o Dir\*.exe). También podría usar, por ejemplo, la ruta a un archivo de nombre document.docm, que utilice un script o una macro para iniciar los procesos de destino.
  También es posible especificar otras clases de objetos, como direcciones web, macros, comandos para la línea de comandos o rutas del Registro. Para ello, utilice la plantilla object://<objeto>, reemplazando <objeto> con el nombre del objeto (por ejemplo, object://sitio.web.example.com, object://VBA, object://ipconfig, object://HKEY_USERS). También puede usar máscaras (por ejemplo, object://*C:\Windows\temp\*).
- Hash del objeto de origen. Código hash de archivo.
La regla del Control de anomalías adaptativo no se aplicará a las acciones que el objeto realice o a los procesos que el objeto inicie.
Especifique los parámetros del objeto de destino o de los procesos de destino iniciados en los que el objeto esté involucrado.
- Proceso de destino. Ruta (o máscara de ruta) de acceso al archivo o a una carpeta con archivos (por ejemplo, С:\Dir\Archivo.exe o Dir\*.exe).
- Hash del proceso de destino. Código hash de archivo.
- Objeto de destino. Comando para iniciar el proceso de destino. Para especificar el comando, utilice el modelo object://<comando> (por ejemplo, object://cmdline:powershell -Command "$result = 'C:\windows\temp\result_local_users_pwdage.txt'"). También puede usar máscaras (por ejemplo, object://*C:\windows\temp\*).
- Hash del objeto de destino. Código hash de archivo.
La regla del Control de anomalías adaptativo no se aplicará a las acciones que afecten al objeto o a los procesos en los que el objeto esté involucrado.
Guarde los cambios.

Inicio de la página