Criar uma exclusão para uma regra de Controle Adaptativo de Anomalias

Você não pode criar mais de 1.000 exclusões da Regra de Controle Adaptativo de Anomalias. Não é recomendado criar mais de 200 exclusões. Para reduzir o número de exclusões usadas, recomenda-se usar máscaras nas configurações de exclusões.

Uma exclusão para regra de Controle Adaptativo de Anomalias inclui uma descrição dos objetos de origem e destino. O objeto de origem é aquele que executa as ações. O objeto de destino é aquele em que as ações estão sendo executadas. Por exemplo, você abriu um arquivo nomeado file.xlsx. Como resultado, um arquivo da biblioteca com a extensão DLL é carregado na memória do computador. Essa biblioteca é utilizada por um navegador (nome do arquivo executável browser.exe). Nesse exemplo, arquivo.xlsx é o objeto de origem, Excel é o processo de origem, browser.exe é o arquivo de destino e Navegador é o processo de destino.

Para criar uma exclusão para uma regra de Controle Adaptativo de Anomalias:

  1. Na janela principal do aplicativo, clique no botão Ícone de configurações do aplicativo na forma de engrenagem..
  2. Na janela de configurações do aplicativo, selecione Controles de segurançaControle adaptativo de anomalias.
  3. No bloco Regras, clique no botão Editar regras.

    A lista de regra de controle adaptativo de anomalias é aberta.

  4. Selecione uma regra na tabela.
  5. Clique Editar.

    A janela de propriedades da regra de controle adaptativo de anomalias é aberta.

  6. No bloco Exclusões, clique no botão Adicionar.

    A janela de propriedades de exclusão é exibida.

  7. Selecione o usuário para o qual deseja configurar uma exclusão. Crie uma lista de usuários pelo Active Directory.

    O Controle Adaptativo de Anomalias não é compatível com exclusões para grupo de usuários. Caso um grupo de usuário seja selecionado, o Kaspersky Endpoint Security não aplica a exclusão.

  8. No campo Descrição, insira uma descrição da exclusão.
  9. Definir as configurações do objeto de origem ou processo de origem iniciado pelo objeto:
    • Processo de origem. Caminho ou máscara do caminho até o arquivo ou a pasta que contém os arquivos (por exemplo, С:\Dir\File.exe ou Dir\*.exe).
    • Hash do processo de origem. Código de hash do arquivo.
    • Objeto de origem. Caminho ou máscara do caminho até o arquivo ou a pasta que contém os arquivos (por exemplo, С:\Dir\File.exe ou Dir\*.exe). Por exemplo, o caminho do arquivo document.docm, que usa um script ou macro para iniciar os processos de destino.

      Você também pode especificar outros objetos a serem excluídos, como um endereço web, macro, comando na linha de comando, caminho de registro ou outros. Especifique o objeto de acordo com o seguinte modelo: object://<objeto>, onde <objeto> é o nome do objeto, por exemplo, object://web.site.example.com, object://VBA, object:\ipconfig, object://HKEY_USERS. Você também pode usar máscaras, por exemplo, object://*C:\Windows\temp\*.

    • Hash do objeto de origem. Código de hash do arquivo.

    A regra de Controle Adaptativo de Anomalias não é aplicada a ações executadas pelo objeto ou a processos iniciados pelo objeto.

  10. Especifique as configurações do objeto de destino ou processos de destino iniciados no objeto.
    • Processo de destino. Caminho ou máscara do caminho até o arquivo ou a pasta que contém os arquivos (por exemplo, С:\Dir\File.exe ou Dir\*.exe).
    • Hash do processo de destino. Código de hash do arquivo.
    • Objeto de destino. O comando para iniciar o processo de destino. Especifique o comando usando o seguinte padrão object://<comando>, por exemplo, object://cmdline:powershell -Command "$result = 'C:\Windows\temp\result_local_users_pwdage.txt'". Você também pode usar máscaras, por exemplo, object://*C:\Windows\temp\*.
    • Hash do objeto de destino. Código de hash do arquivo.

    A regra de Controle Adaptativo de Anomalias não é aplicada a ações executadas no objeto ou nos processos iniciados no objeto.

  11. Salvar alterações.
Início da página