Tworzenie wykluczeń dla reguły Adaptacyjnej kontroli anomalii
Nie możesz utworzyć więcej niż 1 000 wykluczeń dla reguł Adaptacyjnej kontroli anomalii. Nie jest zalecane tworzenie więcej niż 200 wykluczeń. Aby zmniejszyć liczbę używanych wykluczeń, zalecane jest używanie masek w ustawieniach wykluczeń.
Wykluczenie dla reguły Adaptacyjnej kontroli anomalii zawiera opis obiektów źródłowych i docelowych. Obiekt źródłowy to obiekt wykonujący działania. Obiekt docelowy to obiekt, na którym wykonywane są działania. Na przykład, otworzyłeś plik o nazwie file.xlsx. W rezultacie plik biblioteki z rozszerzeniem DLL jest załadowywany do pamięci komputera. Ta biblioteka jest używana przez przeglądarkę (plik wykonywalny o nazwie browser.exe). W tym przykładzie file.xlsx to obiekt źródłowy, Excel to proces źródłowy, browser.exe to obiekt docelowy, a Browser to proces docelowy.
W celu utworzenia wykluczenia dla reguły Adaptacyjnej kontroli anomalii:
- W dolnej części okna głównego aplikacji kliknij przycisk
. - W oknie ustawień aplikacji wybierz Ochrona → Kontrola zabezpieczeń → Adaptacyjna kontrola anomalii.
- W sekcji Reguły kliknij przycisk Edytuj reguły.
Zostanie otwarta lista Reguła Adaptacyjnej kontroli anomalii.
- Wybierz regułę w tabeli.
- Kliknij przycisk Edytuj.
Zostanie otwarte okno właściwości reguły Adaptacyjnej kontroli anomalii.
- W sekcji Wykluczenia kliknij przycisk Dodaj.
Zostanie otwarte okno właściwości wykluczenia.
- Wybierz użytkownika, dla którego chcesz skonfigurować wykluczenie.
- W polu Opis wprowadź opis wykluczenia.
- Zdefiniuj ustawienia obiektu źródłowego lub procesu źródłowego uruchomionego przez obiekt:
- Proces źródłowy. Ścieżka lub maska ścieżki do pliku lub folderu zawierającego pliki (na przykład:
С:\Dir\File.exelubDir\*.exe). - Suma kontrolna procesu źródłowego. Suma kontrolna pliku.
- Obiekt źródłowy. Ścieżka lub maska ścieżki do pliku lub folderu zawierającego pliki (na przykład:
С:\Dir\File.exelubDir\*.exe). Na przykład, ścieżka do plikudocument.docm, która wykorzystuje skrypt lub makro do uruchamiania procesów docelowych.Możesz także określić inne obiekty, które powinny zostać wykluczone, takie jak adres internetowy, makra, polecenie w wierszu polecenia, ścieżka do rejestru lub inne. Określ obiekt zgodnie z następującym szablonem:
object://<obiekt>,gdzie<obiekt>odnosi się do nazwy obiektu, na przykład,object://web.site.example.com,object://VBA, object://ipconfig,object://HKEY_USERS. Można też użyć masek, na przykład,object://*C:\Windows\temp\*. - Suma kontrolna obiektu źródłowego. Suma kontrolna pliku.
Reguła Adaptacyjnej kontroli anomalii nie jest stosowana do działań wykonywanych przez obiekt lub do procesów uruchomionych przez obiekt.
- Proces źródłowy. Ścieżka lub maska ścieżki do pliku lub folderu zawierającego pliki (na przykład:
- Określ ustawienia obiektu docelowego lub procesów docelowych uruchomionych na obiekcie.
- Proces docelowy. Ścieżka lub maska ścieżki do pliku lub folderu zawierającego pliki (na przykład:
С:\Dir\File.exelubDir\*.exe). - Suma kontrolna procesu docelowego. Suma kontrolna pliku.
- Obiekt docelowy. Polecenie uruchamiające proces docelowy. Określ polecenie, używając następującego wzoru
object://<polecenie>, na przykład:object://cmdline:powershell -Command "$result = 'C:\windows\temp\result_local_users_pwdage txt'". Można też użyć masek, na przykład:object://*C:\windows\temp\*. - Suma kontrolna obiektu docelowego. Suma kontrolna pliku.
Reguła Adaptacyjnej kontroli anomalii nie jest stosowana do działań podejmowanych na obiekcie lub do procesów uruchomionych na obiekcie.
- Proces docelowy. Ścieżka lub maska ścieżki do pliku lub folderu zawierającego pliki (na przykład:
- Zapisz swoje zmiany.
Adaptacyjna kontrola anomalii nie obsługuje wykluczeń dla grup użytkowników. Jeśli wybierzesz grupę użytkowników, Kaspersky Endpoint Security nie stosuje wykluczenia.