Tworzenie wykluczeń dla reguły Adaptacyjnej kontroli anomalii

Nie możesz utworzyć więcej niż 1 000 wykluczeń dla reguł Adaptacyjnej kontroli anomalii. Nie jest zalecane tworzenie więcej niż 200 wykluczeń. Aby zmniejszyć liczbę używanych wykluczeń, zalecane jest używanie masek w ustawieniach wykluczeń.

Wykluczenie dla reguły Adaptacyjnej kontroli anomalii zawiera opis obiektów źródłowych i docelowych. Obiekt źródłowy to obiekt wykonujący działania. Obiekt docelowy to obiekt, na którym wykonywane są działania. Na przykład, otworzyłeś plik o nazwie file.xlsx. W rezultacie plik biblioteki z rozszerzeniem DLL jest załadowywany do pamięci komputera. Ta biblioteka jest używana przez przeglądarkę (plik wykonywalny o nazwie browser.exe). W tym przykładzie file.xlsx to obiekt źródłowy, Excel to proces źródłowy, browser.exe to obiekt docelowy, a Browser to proces docelowy.

W celu utworzenia wykluczenia dla reguły Adaptacyjnej kontroli anomalii:

  1. W dolnej części okna głównego aplikacji kliknij przycisk icon_settings.
  2. W oknie ustawień aplikacji wybierz OchronaKontrola zabezpieczeńAdaptacyjna kontrola anomalii.
  3. W sekcji Reguły kliknij przycisk Edytuj reguły.

    Zostanie otwarta lista Reguła Adaptacyjnej kontroli anomalii.

  4. Wybierz regułę w tabeli.
  5. Kliknij przycisk Edytuj.

    Zostanie otwarte okno właściwości reguły Adaptacyjnej kontroli anomalii.

  6. W sekcji Wykluczenia kliknij przycisk Dodaj.

    Zostanie otwarte okno właściwości wykluczenia.

  7. Wybierz użytkowników lub grupy użytkowników, dla których chcesz skonfigurować wykluczenie.
  8. W polu Opis wprowadź opis wykluczenia.
  9. Zdefiniuj ustawienia obiektu źródłowego lub procesu źródłowego uruchomionego przez obiekt:
    • Proces źródłowy. Ścieżka lub maska ścieżki do pliku lub folderu zawierającego pliki (na przykład: С:\Dir\File.exe lub Dir\*.exe).
    • Suma kontrolna procesu źródłowego. Suma kontrolna pliku.
    • Obiekt źródłowy. Ścieżka lub maska ścieżki do pliku lub folderu zawierającego pliki (na przykład: С:\Dir\File.exe lub Dir\*.exe). Na przykład, ścieżka do pliku document.docm, która wykorzystuje skrypt lub makro do uruchamiania procesów docelowych.

      Możesz także określić inne obiekty, które powinny zostać wykluczone, takie jak adres internetowy, makra, polecenie w wierszu polecenia, ścieżka do rejestru lub inne. Określ obiekt zgodnie z następującym szablonem: object://<obiekt>, gdzie <obiekt> odnosi się do nazwy obiektu, na przykład, object://web.site.example.com, object://VBA, object://ipconfig, object://HKEY_USERS. Można też użyć masek, na przykład, object://*C:\Windows\temp\*.

    • Suma kontrolna obiektu źródłowego. Suma kontrolna pliku.

    Reguła Adaptacyjnej kontroli anomalii nie jest stosowana do działań wykonywanych przez obiekt lub do procesów uruchomionych przez obiekt.

  10. Określ ustawienia obiektu docelowego lub procesów docelowych uruchomionych na obiekcie.
    • Proces docelowy. Ścieżka lub maska ścieżki do pliku lub folderu zawierającego pliki (na przykład: С:\Dir\File.exe lub Dir\*.exe).
    • Suma kontrolna procesu docelowego. Suma kontrolna pliku.
    • Obiekt docelowy. Polecenie uruchamiające proces docelowy. Określ polecenie, używając następującego wzoru object://<polecenie>, na przykład: object://cmdline:powershell -Command "$result = 'C:\windows\temp\result_local_users_pwdage txt'"". Można też użyć masek, na przykład: object://*C:\windows\temp\*.
    • Suma kontrolna obiektu docelowego. Suma kontrolna pliku.

    Reguła Adaptacyjnej kontroli anomalii nie jest stosowana do działań podejmowanych na obiekcie lub do procesów uruchomionych na obiekcie.

  11. Zapisz swoje zmiany.
Przejdź do góry