1000 kizárásnál többet nem hozhat létre az Adaptív Anomáliafelügyeleti szabályokból. Nem javasolt 200 kizárásnál többet létrehozni. A használt kizárások számának csökkentéséhez javasolt maszkokat használni a kizárások beállításaiban.
Az Adaptív Anomáliafelügyelő szabályának egy kizárása tartalmazza a forrás- és célobjektumok leírását. A forrásobjektum egy objektum, ami végrehajtja a tevékenységeket. A célobjektum egy objektum, amin a tevékenységet végre vannak hajtva. Például megnyitott egy file.xlsx
nevű fájlt. Ennek eredményeképpen a DLL kiterjesztésű könyvtárfájl betöltődik a számítógépes memóriába. A könyvtárat a böngésző használja (a browser.exe
nevű végrehajtható fájl). Ebben a példában a file.xlsx
a forrásobjektum, az Excel a forrásfolyamat, a browser.exe
a célfájl, a Böngésző pedig a célobjektum.
Egy Adaptív Anomáliafelügyeleti szabály kizárásának létrehozása és szerkesztése:
Megnyílik az Adaptív Anomáliafelügyeleti szabály ablak.
Megnyílik az Kizárás egy szabály alól ablak.
Megnyílik a szokásos Felhasználók vagy csoportok kiválasztása párbeszédpanel a Microsoft Windowsban.
С:\Dir\File.exe
vagy Dir\*.exe
).С:\Dir\File.exe
vagy Dir\*.exe
). Például a document.docm
fájlelérési útvonal, amely parancsfájl vagy makró használatával indítja el a célfolyamatokat.Megadhat egyéb objektumokat a kizáráshoz, például webcímeket, makrókat, parancsokat a parancssorban, beállításjegyzék útvonalakat és egyebeket. Adja meg az objektumot a következő sablon alapján: object://<object>,
ahol az <object>
az objektum nevét jelenti, például: object://web.site.example.com
, object://VBA, object://ipconfig
, object://HKEY_USERS
. Maszkokat is használhat, például: object://*C:\Windows\temp\*
.
Az Adaptív Anomáliafelügyeleti szabály nincs alkalmazva az objektum által végrehajtott tevékenységeken, valamint az objektum által elindított folyamatokon.
С:\Dir\File.exe
vagy Dir\*.exe
).object://<command>
, például object://cmdline:powershell -Command "$result = 'C:\windows\temp\result_local_users_pwdage txt'"
. Maszkokat is használhat, például: object://*C:\windows\temp\*
.Az Adaptív Anomáliafelügyeleti szabály nincs alkalmazva az objektum által végbevitt tevékenységeken vagy az objektum által indított folyamatokon.