Для правил Адаптивного контроля аномалий невозможно создать более 1000 исключений. Не рекомендуется создавать более 200 исключений. Чтобы уменьшить количество используемых исключений, рекомендуется использовать маски в параметрах исключений.
Исключение для правила Адаптивного контроля аномалий включает в себя описание исходных и целевых объектов. Исходный объект – объект, который выполняет действия. Целевой объект – объект, над которым выполняются действия. Например, вы открыли файл file.xlsx
. В результате в память компьютера была добавлена библиотека с расширением dll, которую использует браузер (исполняемый файл browser.exe
). В данном примере file.xlsx
– исходный объект, Excel – исходный процесс, browser.exe
– целевой объект, Browser – целевой процесс.
Чтобы создать исключение для правила Адаптивного контроля аномалий, выполните следующие действия:
Откроется список правил Адаптивного контроля аномалий.
Откроется окно свойств правила Адаптивного контроля аномалий.
Откроется окно свойств исключения.
Адаптивный контроль аномалий не поддерживает исключения для групп пользователей. Если вы выберите группу пользователей, Kaspersky Endpoint Security не применит исключение.
C:\Dir\File.exe
или Dir\*.exe
).C:\Dir\File.exe
или Dir\*.exe
). Например, путь к файлу document.docm
, который запускает целевые процессы с помощью скрипта или макроса.Вы также можете указать другие объекты для исключения, например, веб-адрес, макрос, команду в командной строке, путь реестра и другие. Укажите объект по следующему шаблону: object://<объект>,
где <объект>
– название объекта, например, object://web.site.example.com
, object://VBA, object://ipconfig
, object://HKEY_USERS
. Вы также можете использовать маски, например, object://*C:\Windows\temp\*
.
Правило Адаптивного контроля аномалий не распространяется на действия, выполняемые объектом, или на процессы, запущенные объектом.
C:\Dir\File.exe
или Dir\*.exe
).object://<команда>
, например, object://cmdline:powershell -Command "$result = 'C:\Windows\temp\result_local_users_pwdage.txt'"
. Также вы можете использовать маски, например, object://*C:\Windows\temp\*
.Правило Адаптивного контроля аномалий не распространяется на действия над объектом или на процессы, запущенные над объектом.