Egy Adaptív Anomáliafelügyeleti szabály kizárásának létrehozása és szerkesztése

1000 kizárásnál többet nem hozhat létre az Adaptív Anomáliafelügyeleti szabályokból. Nem javasolt 200 kizárásnál többet létrehozni. A használt kizárások számának csökkentéséhez javasolt maszkokat használni a kizárások beállításaiban.

Az Adaptív Anomáliafelügyelő szabályának egy kizárása tartalmazza a forrás- és célobjektumok leírását. A forrásobjektum egy objektum, ami végrehajtja a tevékenységeket. A célobjektum egy objektum, amin a tevékenységet végre vannak hajtva. Például megnyitott egy file.xlsx nevű fájlt. Ennek eredményeképpen a DLL kiterjesztésű könyvtárfájl betöltődik a számítógépes memóriába. A könyvtárat a böngésző használja (a browser.exe nevű végrehajtható fájl). Ebben a példában a file.xlsx a forrásobjektum, az Excel a forrásfolyamat, a browser.exe a célfájl, a Böngésző pedig a célobjektum.

Egy Adaptív Anomáliafelügyeleti szabály kizárásának létrehozása és szerkesztése:

  1. Kattintson a fő alkalmazásablakban a Beállítások gombra.
  2. Az alkalmazásbeállítások ablakában válassza a Biztonsági felügyeletAdaptív Anomáliafelügyelő lehetőséget.
  3. Az ablak bal oldalán lévő táblázatban jelöljön ki egy szabályt.
  4. Kattintson a Szerkesztés gombra.

    Megnyílik az Adaptív Anomáliafelügyeleti szabály ablak.

  5. Végezze el az alábbiak egyikét:
    • Ha kizárást szeretne hozzáadni, kattintson a Hozzáadás gombra.
    • Ha egy már meglévő szabályt szeretne szerkeszteni, válassza ki a sorban a Kizárások táblázatban, és kattintson a Szerkesztés gombra.

    Megnyílik az Kizárás egy szabály alól ablak.

  6. A Leírás mezőben adja meg a kizárás leírását.
  7. Kattintson a Tallózás gombra a Felhasználó mező mellett az olyan felhasználók megadásához, akiknek a kivételei alkalmazva lesznek.

    Megnyílik a szokásos Felhasználók vagy csoportok kiválasztása párbeszédpanel a Microsoft Windowsban.

  8. Adja meg az objektum által elindított forrásobjektum vagy forrásfolyamat beállításait:
    • Forrásfolyamat. A fájl vagy a fájlt tartalmazó mappa elérési útja vagy annak maszkja (például С:\Dir\File.exe vagy Dir\*.exe).
    • Forrásfolyamat-kivonat. Fájl hash-kód.
    • Forrásobjektum. A fájl vagy a fájlt tartalmazó mappa elérési útja vagy annak maszkja (például С:\Dir\File.exe vagy Dir\*.exe). Például a document.docm fájlelérési útvonal, amely parancsfájl vagy makró használatával indítja el a célfolyamatokat.

      Megadhat egyéb objektumokat a kizáráshoz, például webcímeket, makrókat, parancsokat a parancssorban, beállításjegyzék útvonalakat és egyebeket. Adja meg az objektumot a következő sablon alapján: object://<object>, ahol az <object> az objektum nevét jelenti, például: object://web.site.example.com, object://VBA, object://ipconfig, object://HKEY_USERS. Maszkokat is használhat, például: object://*C:\Windows\temp\*.

    • Forrásobjektum-kivonat. Fájl hash-kód.

    Az Adaptív Anomáliafelügyeleti szabály nincs alkalmazva az objektum által végrehajtott tevékenységeken, valamint az objektum által elindított folyamatokon.

  9. Adja meg az objektum által elindított célobjektum vagy célfolyamatok beállításait.
    • Célfolyamat A fájl vagy a fájlt tartalmazó mappa elérési útja vagy annak maszkja (például С:\Dir\File.exe vagy Dir\*.exe).
    • Célfolyamat-kivonat. Fájl hash-kód.
    • Célobjektum. A célfolyamatokat indító parancs. Adja meg a parancsot a következő sablon használatával: object://<command>, például object://cmdline:powershell -Command "$result = 'C:\windows\temp\result_local_users_pwdage txt'". Maszkokat is használhat, például: object://*C:\windows\temp\*.
    • Célobjektum-kivonat. Fájl hash-kód.

    Az Adaptív Anomáliafelügyeleti szabály nincs alkalmazva az objektum által végbevitt tevékenységeken vagy az objektum által indított folyamatokon.

  10. Mentse el a módosításokat.
Oldal tetejére