Bir Uyarlamalı Anomali Denetimi kuralı için istisna oluşturma ve düzenleme

Uyarlamalı Anomali Denetimi kuralları için en fazla 1000 istisna oluşturabilirsiniz. 200 istisnadan fazlasının oluşturulması önerilmez. Kullanılan istisna sayısını azaltmak için istisnalar ayarlarında maske kullanılması önerilir.

Uyarlamalı Anomali Denetimi kuralının bir istisnası, kaynak ve hedef nesnelerin açıklamasını içerir. Kaynak nesne, eylemleri gerçekleştiren nesnedir. Hedef nesne, üzerinde eylem gerçekleştirilen nesnedir. Örneğin, dosya.xlsx adlı bir dosya açtığınızı varsayalım. Bunun sonucunda bilgisayar belleğine DLL uzantılı bir kitaplık dosyası yüklenir. Bu kitaplık bir tarayıcı tarafından kullanılır (tarayıcı.exe adlı yürütülebilir dosya). Bu örnekte file.xlsx kaynak nesne, Excel kaynak işlem, browser.exe hedef dosya ve Tarayıcı da hedef işlemdir.

Bir Uyarlamalı Anomali Denetimi kuralı için istisna oluşturmak veya mevcut istisnayı düzenlemek için:

  1. Ana uygulama penceresinde Ayarlar düğmesine tıklayın.
  2. Uygulama ayarları penceresinden Güvenlik DenetimleriUyarlamalı Anomali Denetimi'ni seçin.
  3. Pencerenin sağ tarafındaki tabloda bir kural seçin.
  4. Düzenle düğmesine tıklayın.

    Uyarlamalı Anomali Denetimi kuralı penceresi açılır.

  5. Aşağıdakilerden birini yapın:
    • Bir istisna eklemek isterseniz Ekle düğmesine tıklayın.
    • Mevcut bir istisnayı düzenlemek isterseniz İstisnalar tablosunda ilgili satırı seçin ve Düzenle düğmesine tıklayın.

    Kural istisnaları penceresi açılır.

  6. Açıklama alanında istisnaya yönelik bir açıklama girin.
  7. İstisnanın uygulanacağı kullanıcıları belirlemek için Kullanıcı alanının yanındaki Gözat düğmesine tıklayın.

    Microsoft Windows’ta standart Kullanıcıları veya Grupları Seç penceresi açılır.

  8. Kaynak nesne veya nesne tarafından başlatılan kaynak işlemin ayarlarını tanımlayın:
    • Kaynak işlem. Dosya veya dosyaları içeren klasör yolu ya da dosya veya dosyaları içeren klasör yolunun maskesi (örneğin С:\Dir\Dosya.exe veya Dir\*.exe).
    • Kaynak işlem karması. Dosya karma kodu.
    • Kaynak nesne. Dosya veya dosyaları içeren klasör yolu ya da dosya veya dosyaları içeren klasör yolunun maskesi (örneğin С:\Dir\Dosya.exe veya Dir\*.exe). Örneğin, hedef işlemleri başlatmak için bir kod veya makro kullanan document.docm dosya yolu.

      İnternet adresi, makro, komut satırındaki komut, kayıt defteri yolu ve benzeri gibi hariç tutulacak diğer nesneleri de belirtebilirsiniz. Nesneyi aşağıdaki şablona göre belirtin: object://<nesne>; burada <nesne>, nesnenin adıdır, örneğin object://web.sitesi.ornegi.com, object://VBA, object://ipconfig, object://HKEY_USERS. Ayrıca object://*C:\Windows\temp\* gibi maskeler de kullanabilirsiniz.

    • Kaynak nesne karması. Dosya karma kodu.

    Uyarlamalı Anomali Denetimi kuralı, nesne tarafından gerçekleştirilen eylemlere veya nesne tarafından başlatılmış işlemlere uygulanmaz.

  9. Hedef nesnenin veya nesne üzerinde başlatılmış hedef işlemlerin ayarlarını belirtin.
    • Hedef işlem. Dosya veya dosyaları içeren klasör yolu ya da dosya veya dosyaları içeren klasör yolunun maskesi (örneğin С:\Dir\Dosya.exe veya Dir\*.exe).
    • Hedef işlem karması. Dosya karma kodu.
    • Hedef nesne. Hedef işlemi başlatma komutu. object://<command> aşağıdaki düzeni kullanarak komutu belirtin, ör. object://cmdline:powershell -Command "$result = 'C:\windows\temp\result_local_users_pwdage txt'". Ayrıca object://*C:\windows\temp\* gibi maskeler de kullanabilirsiniz.
    • Hedef nesne karması. Dosya karma kodu.

    Uyarlamalı Anomali Denetimi kuralı, nesne üzerinde yapılan eylemlere veya nesne üzerinde başlatılmış işlemlere uygulanmaz.

  10. Değişikliklerinizi kaydedin.
Sayfanın başına git