Crearea unei excluderi pentru o regulă Control adaptiv al anomaliilor
Nu poți crea mai mult de 1.000 excluderi pentru regulile de Control adaptiv al anomaliilor. Este nerecomandată crearea a mai mult de 200 de excluderi. Pentru a reduce numărul de excluderi utilizate, se recomandă utilizarea măștilor în setările excluderilor.
O excludere pentru o regulă Control adaptiv al anomaliilor include o descriere a obiectelor sursă și țintă. Obiectul sursă este obiectul care efectuează acțiunile. Obiectul țintă este obiectul asupra căruia se efectuează acțiunile. De exemplu, ați deschis un fișier denumit file.xlsx. Ca rezultat, un fișier bibliotecă cu extensia DLL este încărcat în memoria computerului. Această bibliotecă este utilizată de un browser (fișierul executabil denumit browser.exe). În acest exemplu, file.xlsx este obiectul sursă, Excel este procesul sursă, browser.exe este obiectul țintă, iar Browser este procesul țintă.
Pentru a crea o excludere pentru o regulă de control adaptiv al anomaliilor:
- În fereastra principală a aplicației, faceți clic pe butonul
. - În fereastra cu setările aplicației, selectați Security Controls → Control adaptiv al anomaliilor.
- În blocul Reguli, fă clic pe butonul Editare reguli.
Se deschide lista regulilor de control adaptiv al anomaliilor.
- Selectați o regulă din tabel.
- Fă clic pe Editare.
Se deschide fereastra de proprietăți a regulii de control adaptiv al anomaliilor.
- În blocul Excluderi, fă clic pe butonul Adăugare.
Se deschide fereastra de proprietăți ale excluderii.
- Selectați utilizatorul pentru care dorești să configurezi o excludere.
Caracteristica Control adaptiv al anomaliilor nu acceptă excluderi pentru grupuri de utilizatori. Dacă selectați un grup de utilizatori, Kaspersky Endpoint Security nu aplică excluderea.
- În câmpul Descriere, introdu o descriere a excluderii.
- Definiți setările obiectului sursă sau ale proceselor sursă pornite de obiect:
- Proces sursă. Calea sau masca pentru calea către fișierul sau directorul care conține fișiere (de exemplu,
С:\Dir\File.exesauDir\*.exe). - Cod hash proces sursă. Cod hash fișier.
- Obiect sursă. Calea sau masca pentru calea către fișierul sau directorul care conține fișiere (de exemplu,
С:\Dir\File.exesauDir\*.exe). De exemplu, calea fișieruluidocument.docm, care folosește un script sau un macro pentru a porni procesele țintă.Poți, de asemenea, să specifici alte obiecte de exclus, cum ar fi o adresă Web, o macrocomandă, o comandă din linia de comandă, o cale de registru sau altele. Specificați obiectul după următorul șablon:
object://<obiect>,unde<obiect>se referă la numele obiectului, de exemplu,object://web.site.example.com,object://VBA, object://ipconfig,object://HKEY_USERS. Puteți utiliza, de asemenea, măști, de exemplu,object://*C:\Windows\temp\*. - Cod hash obiect sursă. Cod hash fișier.
Regula Control adaptiv al anomaliilor nu se aplică acțiunilor efectuate de către obiect sau proceselor pornite de către obiect.
- Proces sursă. Calea sau masca pentru calea către fișierul sau directorul care conține fișiere (de exemplu,
- Specificați setările obiectului țintă sau ale proceselor țintă pornite pe obiect.
- Proces țintă. Calea sau masca pentru calea către fișierul sau directorul care conține fișiere (de exemplu,
С:\Dir\File.exesauDir\*.exe). - Cod hash proces țintă. Cod hash fișier.
- Obiect țintă. Comanda pentru pornirea procesului țintă. Specificați comanda utilizând următorul model
object://<comandă>, de exemplu,object://cmdline:powershell -Command "$result = 'C:\Windows\temp\result_local_users_pwdage txt'". Puteți utiliza, de asemenea, măști, de exemplu,object://*C:\Windows\temp\*. - Cod hash obiect țintă. Cod hash fișier.
Regula Control adaptiv al anomaliilor nu se aplică acțiunilor efectuate asupra obiectului sau proceselor pornite pe obiect.
- Proces țintă. Calea sau masca pentru calea către fișierul sau directorul care conține fișiere (de exemplu,
- Salvați-vă modificările.