Creazione e modifica di un'esclusione per una regola di Controllo adattivo delle anomalie

Non è possibile creare più di 1.000 esclusioni per le regole di Controllo adattivo delle anomalie. Non è consigliabile creare più di 200 esclusioni. Per ridurre il numero di esclusioni utilizzate, è consigliabile utilizzare le maschere nelle impostazioni delle esclusioni.

Un'esclusione per una regola di Controllo adattivo delle anomalie include una descrizione degli oggetti di origine e di destinazione. L'oggetto di origine è l'oggetto che esegue le azioni. L'oggetto di destinazione è l'oggetto in cui vengono eseguite le azioni. È stato ad esempio aperto un file denominato file.xlsx. In seguito a questa operazione, viene caricato nella memoria del computer un file della libreria con estensione DLL. Questa libreria è utilizzata da un browser (file eseguibile denominato browser.exe). In questo esempio file.xlsx è l'oggetto di origine, Excel è il processo di origine, browser.exe è l'oggetto di destinazione e Browser è il processo di destinazione.

Per creare o modificare un'esclusione per una regola di Controllo adattivo delle anomalie:

1. Nella finestra principale dell'applicazione fare clic sul pulsante Impostazioni.
2. Nella finestra delle impostazioni dell'applicazione selezionare Controlli di Sicurezza → Controllo adattivo delle anomalie.
3. Nella tabella a destra della finestra selezionare una regola.
4. Fare clic sul pulsante Modifica.

   Verrà visualizzata la finestra Regola di Controllo adattivo delle anomalie.

5. Eseguire una delle seguenti operazioni:
   • Per aggiungere un'esclusione, fare clic sul pulsante Aggiungi.
   • Se si desidera modificare un'esclusione esistente, selezionare la riga nella tabella Esclusioni e fare clic sul pulsante Modifica.

   Verrà visualizzata la finestra Esclusione dalla regola.

6. Nel campo Descrizione immettere una descrizione dell'esclusione.
7. Fare clic sul pulsante Sfoglia accanto al campo Utente per specificare gli utenti a cui si applica l'esclusione.

   Verrà visualizzata la finestra standard Seleziona utenti e gruppi in Microsoft Windows.

8. Definire le impostazioni dell'oggetto di origine o del processo di origine avviato dall'oggetto:
   • Processo di origine. Percorso o maschera del percorso del file o della cartella contenente i file (ad esempio С:\Dir\File.exe o Dir\ *.exe).
   • Hash del processo di origine. Codice hash file.
   • Oggetto di origine. Percorso o maschera del percorso del file o della cartella contenente i file (ad esempio С:\Dir\File.exe o Dir\ *.exe). Ad esempio il percorso del file document.docm, che utilizza uno script o una macro per avviare i processi di destinazione.

     È inoltre possibile specificare altri oggetti da escludere, ad esempio un indirizzo Web, una macro, un comando nella riga di comando, un percorso del registro di sistema o altri elementi. Specificare l'oggetto in base al seguente modello: object://<oggetto>, dove <oggetto> si riferisce al nome dell'oggetto, ad esempio object://web.site.example.com, object://VBA, object://ipconfig, object://HKEY_USERS. È inoltre possibile utilizzare le maschere, ad esempio object://*C:\Windows\temp\*.

   • Hash dell'oggetto di origine. Codice hash file.

   La regola di Controllo adattivo delle anomalie non viene applicata alle azioni eseguite dall'oggetto o ai processi avviati dall'oggetto.

9. Specificare le impostazioni dell'oggetto di destinazione o dei processi di destinazione avviati nell'oggetto.
   • Processo di destinazione. Percorso o maschera del percorso del file o della cartella contenente i file (ad esempio С:\Dir\File.exe o Dir\ *.exe).
   • Hash processo destinazione. Codice hash file.
   • Oggetto di destinazione. Il comando per avviare il processo di destinazione. Specificare il comando utilizzando il modello seguente object://<comando>, ad esempio object://cmdline:powershell -Command "$result = 'C:\windows\temp\result_local_users_pwdage txt'". È inoltre possibile utilizzare le maschere, ad esempio object://*C:\windows\temp\*.
   • Hash oggetto destinazione. Codice hash file.

   La regola di Controllo adattivo delle anomalie non viene applicata alle azioni eseguite sull'oggetto o ai processi avviati sull'oggetto.

10. Salvare le modifiche.

Inizio pagina