Création d'une exclusion pour une règle du Contrôle évolutif des anomalies

Pour les règles du Contrôle évolutif des anomalies, il est impossible de créer plus de 1 000 exclusions. Il est déconseillé de créer plus de 200 exclusions. Pour diminuer la quantité d'exclusions utilisées, il est conseillé d'utiliser des masques dans les paramètres des exclusions.

L'exclusion pour la règle du Contrôle évolutif des anomalies contient une description des objets source et cible. L'objet source est l'objet qui exécute l'action. L'objet cible est l'objet qui subit l'action. Par exemple, vous avez ouvert le fichier file.xlsx. Par conséquent, un fichier de bibliothèque avec l'extension DLL est chargé dans la mémoire de l'ordinateur. Cette bibliothèque est utilisée par un navigateur (fichier exécutable intitulé browser.exe). Dans l'exemple donné, file.xlsx est l'objet source. Excel est le processus source, browser.exe est l'objet cible et Browser, le processus cible.

Pour créer une exclusion pour une règle du Contrôle évolutif des anomalies, procédez comme suit :

  1. Dans la fenêtre principale de l'application, cliquez sur le bouton Icône des paramètres de l'application sous la forme d'une roue dentée..
  2. Dans la fenêtre des paramètres de l'application, sélectionnez Contrôles de sécuritéContrôle évolutif des anomalies.
  3. Cliquez sur le bouton Modifier les règles dans le groupe Règles.

    La liste des règles du Contrôle évolutif des anomalies s'ouvre.

  4. Sélectionnez une règle dans le tableau.
  5. Cliquez sur Modifier.

    La fenêtre des propriétés des règles du Contrôle évolutif des anomalies s'ouvre.

  6. Cliquez sur le bouton Ajouter dans le groupe Exclusions.

    La fenêtre de propriétés des exclusions s'ouvre.

  7. Sélectionnez l'utilisateur pour lequel vous souhaitez configurer une exclusion.

    Vous pouvez sélectionner des utilisateurs dans Active Directory, dans la liste des comptes dans Kaspersky Security Center ou en saisissant un nom d'utilisateur local manuellement. Kaspersky recommande l'utilisation de comptes utilisateurs locaux uniquement dans les cas particuliers où il n'est pas possible d'utiliser les comptes utilisateurs du domaine.

    Le Contrôle évolutif des anomalies ne prend pas en charge les exclusions pour les groupes d'utilisateurs. Si vous sélectionnez un groupe d'utilisateurs, Kaspersky Endpoint Security n'applique pas l'exclusion.

  8. Dans le champ Description, saisissez une description de l'exclusion.
  9. Définissez les paramètres de l'objet source ou du processus source lancés par l'objet :
    • Processus source. Le chemin ou le masque du chemin d'accès au fichier ou au dossier contenant les fichiers (par exemple, C:\Dir\File.exe ou Dir\*.exe).
    • Hachage du processus source. Hachage du fichier.
    • Objet source. Le chemin ou le masque du chemin d'accès au fichier ou au dossier contenant les fichiers (par exemple, C:\Dir\File.exe ou Dir\*.exe). Par exemple, le chemin d'accès au fichier document.docm qui lance les processus cibles à l'aide d'un script ou d'une macro.

      Vous pouvez renseigner également d'autres objets pour l'exclusion, par exemple une adresse Internet, des macros, une commande de la ligne de commande, le chemin d'accès au registre, etc. Désignez l'objet selon le modèle suivant : object://<object>, où <object> désigne le nom de l'objet, par exemple, object://web.site.example.com, object://VBA, object://ipconfig, object://HKEY_USERS. Vous pouvez également utiliser des masques, par exemple, object://*C:\Windows\temp\*.

    • Hachage de l'objet source. Hachage du fichier.

    La règle du Contrôle évolutif des anomalies ne s'applique pas aux actions exécutées par l'objet, ni aux processus lancés par l'objet.

  10. Définissez les paramètres de l'objet cible ou des processus cibles exécutés sur l'objet.
    • Processus cible. Le chemin ou le masque du chemin d'accès au fichier ou au dossier contenant les fichiers (par exemple, C:\Dir\File.exe ou Dir\*.exe).
    • Hachage du processus cible. Hachage du fichier.
    • Objet cible. Commande pour lancer le processus cible. Saisissez la commande selon le modèle suivant object://<command>, par exemple, object://cmdline:powershell -Command "$result = 'C:\Windows\temp\result_local_users_pwdage.txt'". Vous pouvez également utiliser des masques, par exemple, object://*C:\Windows\temp\*.
    • Hachage de l'objet cible. Hachage du fichier.

    La règle du Contrôle évolutif des anomalies ne s'applique pas aux actions exécutées sur l'objet, ni sur processus exécutés sur l'objet.

  11. Enregistrez vos modifications.
Haut de page