Tworzenie i edytowanie wykluczenia dla reguły Adaptacyjnej kontroli anomalii

Nie możesz utworzyć więcej niż 1 000 wykluczeń dla reguł Adaptacyjnej kontroli anomalii. Nie jest zalecane tworzenie więcej niż 200 wykluczeń. Aby zmniejszyć liczbę używanych wykluczeń, zalecane jest używanie masek w ustawieniach wykluczeń.

Wykluczenie dla reguły Adaptacyjnej kontroli anomalii zawiera opis obiektów źródłowych i docelowych. Obiekt źródłowy to obiekt wykonujący działania. Obiekt docelowy to obiekt, na którym wykonywane są działania. Na przykład, otworzyłeś plik o nazwie file.xlsx. W rezultacie plik biblioteki z rozszerzeniem DLL jest załadowywany do pamięci komputera. Ta biblioteka jest używana przez przeglądarkę (plik wykonywalny o nazwie browser.exe). W tym przykładzie file.xlsx to obiekt źródłowy, Excel to proces źródłowy, browser.exe to obiekt docelowy, a Browser to proces docelowy.

W celu utworzenia lub zmodyfikowania wykluczenia dla reguły Adaptacyjnej kontroli anomalii:

  1. W oknie głównym aplikacji kliknij przycisk Ustawienia.
  2. W oknie ustawień aplikacji wybierz Kontrola zabezpieczeńAdaptacyjna kontrola anomalii.
  3. W tabeli w prawej części okna wybierz regułę.
  4. Kliknij przycisk Edytuj.

    Zostanie otwarte okno Reguła Adaptacyjnej kontroli anomalii.

  5. Wykonaj jedną z poniższych czynności:
    • Jeżeli chcesz dodać wykluczenie, kliknij przycisk Dodaj.
    • Jeżeli chcesz zmodyfikować istniejące wykluczenie, w tabeli Wykluczenia wybierz rząd i kliknij przycisk Edytuj.

    Zostanie otwarte okno Wykluczenie z reguły.

  6. W polu Opis wprowadź opis wykluczenia.
  7. Kliknij przycisk Przeglądaj obok pola Użytkownik, aby określić użytkowników, do których stosowane jest wykluczenie.

    Zostanie otwarte standardowe okno Wybierz użytkowników lub grupy z Microsoft Windows.

  8. Zdefiniuj ustawienia obiektu źródłowego lub procesu źródłowego uruchomionego przez obiekt:
    • Proces źródłowy. Ścieżka lub maska ścieżki do pliku lub folderu zawierającego pliki (na przykład: С:\Dir\File.exe lub Dir\*.exe).
    • Suma kontrolna procesu źródłowego. Suma kontrolna pliku.
    • Obiekt źródłowy. Ścieżka lub maska ścieżki do pliku lub folderu zawierającego pliki (na przykład: С:\Dir\File.exe lub Dir\*.exe). Na przykład, ścieżka do pliku document.docm, która wykorzystuje skrypt lub makro do uruchamiania procesów docelowych.

      Możesz także określić inne obiekty, które powinny zostać wykluczone, takie jak adres internetowy, makra, polecenie w wierszu polecenia, ścieżka do rejestru lub inne. Określ obiekt zgodnie z następującym szablonem: object://<obiekt>, gdzie <obiekt> odnosi się do nazwy obiektu, na przykład, object://web.site.example.com, object://VBA, object://ipconfig, object://HKEY_USERS. Można też użyć masek, na przykład, object://*C:\Windows\temp\*.

    • Suma kontrolna obiektu źródłowego. Suma kontrolna pliku.

    Reguła Adaptacyjnej kontroli anomalii nie jest stosowana do działań wykonywanych przez obiekt lub do procesów uruchomionych przez obiekt.

  9. Określ ustawienia obiektu docelowego lub procesów docelowych uruchomionych na obiekcie.
    • Proces docelowy. Ścieżka lub maska ścieżki do pliku lub folderu zawierającego pliki (na przykład: С:\Dir\File.exe lub Dir\*.exe).
    • Suma kontrolna procesu docelowego. Suma kontrolna pliku.
    • Obiekt docelowy. Polecenie uruchamiające proces docelowy. Określ polecenie, używając następującego wzoru object://<polecenie>, na przykład: object://cmdline:powershell -Command "$result = 'C:\windows\temp\result_local_users_pwdage txt'"". Można też użyć masek, na przykład: object://*C:\windows\temp\*.
    • Suma kontrolna obiektu docelowego. Suma kontrolna pliku.

    Reguła Adaptacyjnej kontroli anomalii nie jest stosowana do działań podejmowanych na obiekcie lub do procesów uruchomionych na obiekcie.

  10. Zapisz swoje zmiany.
Przejdź do góry