创建和编辑自适应异常控制规则的排除项

您无法为自适应异常控制规则创建超过 1000 个排除项。不建议创建超过 200 个排除项。要减少使用的排除项数量,建议在排除项设置中使用掩码。

自适应异常控制规则的排除项包括源对象和目标对象的说明。源对象是执行操作的对象。目标对象是被执行操作的对象。例如,您打开了一个名为 file.xlsx 的文件。结果,一个带 DLL 扩展名的库文件加载到计算机内存中。该库被浏览器(名为 browser.exe 的可执行文件)使用。在此示例中,file.xlsx 是源对象,Excel 是源进程,browser.exe 是目标对象,Browser 是目标进程。

要为自适应异常控制规则创建或编辑排除项,请执行以下操作:

  1. 在应用程序主窗口中,单击“设置”按钮。
  2. 在应用程序设置窗口中,选择“安全控制”→“自适应异常控制”。
  3. 在窗口右侧的表中,选择规则。
  4. 单击“编辑”按钮。

    自适应异常控制规则”窗口将开启。

  5. 执行下列操作之一:
    • 如果您要添加新的排除项,请单击“添加”按钮。
    • 如果要编辑现有规则,请在“排除”表中选择相应行,然后单击“编辑”按钮。

    规则排除项”窗口将开启。

  6. 在“描述”字段中输入排除项的说明。
  7. 单击“用户”字段中的“浏览”按钮,以指定要应用排除项的用户。

    Microsoft Windows 中将开启标准“选择用户或组”窗口。

  8. 定义源对象的设置或该对象启动的源进程的设置:
    • 源进程。文件或包含文件的文件夹的路径或掩码(例如,С:\Dir\File.exeDir\*.exe
    • 源进程哈希文件哈希码。
    • 源对象。文件或包含文件的文件夹的路径或掩码(例如,С:\Dir\File.exeDir\*.exe)。例如,文件路径 document.docm,它使用脚本或宏来启动目标进程。

      您还可以指定要排除的其他对象,如 Web 地址、宏、命令行中的命令、注册表路径等等。按照以下模板指定对象:object://<object>,其中 <object> 指对象的名称,例如 object://web.site.example.comobject://VBA、object://ipconfigobject://HKEY_USERS。您也可以使用掩码,例如,object://*C:\Windows\temp\*

    • 源对象哈希。文件哈希码。

    自适应异常控制规则不适用于该对象执行的操作或该对象启动的进程。

  9. 指定目标对象的设置或对该对象启动的目标进程的设置。
    • 目标进程。文件或包含文件的文件夹的路径或掩码(例如,С:\Dir\File.exeDir\*.exe
    • 目标进程哈希。文件哈希码。
    • 目标对象。用于启动目标进程的命令。使用模式 object://<command> 指定命令, 例如,object://cmdline:powershell -Command "$result = 'C:\windows\temp\result_local_users_pwdage txt'"。您也可以使用掩码,例如,object://*C:\windows\temp\*
    • 目标对象哈希。文件哈希码。

    自适应异常控制规则不适用于对该对象执行的操作或对该对象启动的进程。

  10. 保存更改。
页面顶部