Creazione di un'esclusione per una regola di Controllo adattivo delle anomalie
Non è possibile creare più di 1.000 esclusioni per le regole di Controllo adattivo delle anomalie. Non è consigliabile creare più di 200 esclusioni. Per ridurre il numero di esclusioni utilizzate, è consigliabile utilizzare le maschere nelle impostazioni delle esclusioni.
Un'esclusione per una regola di Controllo adattivo delle anomalie include una descrizione degli oggetti di origine e di destinazione. L'oggetto di origine è l'oggetto che esegue le azioni. L'oggetto di destinazione è l'oggetto in cui vengono eseguite le azioni. È stato ad esempio aperto un file denominato file.xlsx. In seguito a questa operazione, viene caricato nella memoria del computer un file della libreria con estensione DLL. Questa libreria è utilizzata da un browser (file eseguibile denominato browser.exe). In questo esempio file.xlsx è l'oggetto di origine, Excel è il processo di origine, browser.exe è l'oggetto di destinazione e Browser è il processo di destinazione.
Per creare un'esclusione per una regola di Controllo adattivo delle anomalie:
- Nella finestra principale dell'applicazione, fare clic sul pulsante
. - Nella finestra delle impostazioni dell'applicazione, selezionare Controlli di sicurezza → Controllo adattivo delle anomalie.
- Nel blocco Regole, fare clic sul pulsante Modifica regole.
Verrà visualizzato l'elenco delle regole di Controllo adattivo delle anomalie.
- Selezionare una regola nella tabella.
- Fare clic su Modifica.
Verrà visualizzata la finestra delle proprietà delle regole di Controllo adattivo delle anomalie.
- Nel blocco Esclusioni, fare clic sul pulsante Aggiungi.
Verrà visualizzata la finestra delle proprietà delle esclusioni.
- Selezionare l'utente per cui si desidera configurare un'esclusione.
Controllo adattivo delle anomalie non supporta le esclusioni per i gruppi di utenti. Se si seleziona un gruppo di utenti, Kaspersky Endpoint Security non applica l'esclusione.
- Nel campo Descrizione immettere una descrizione dell'esclusione.
- Definire le impostazioni dell'oggetto di origine o del processo di origine avviato dall'oggetto:
- Processo di origine. Percorso o maschera del percorso del file o della cartella contenente i file (ad esempio,
С:\Dir\File.exeoDir\*.exe). - Hash processo origine. Codice hash file.
- Oggetto di origine. Percorso o maschera del percorso del file o della cartella contenente i file (ad esempio,
С:\Dir\File.exeoDir\*.exe). Ad esempio il percorso del filedocument.docm, che utilizza uno script o una macro per avviare i processi di destinazione.È inoltre possibile specificare altri oggetti da escludere, ad esempio un indirizzo Web, una macro, un comando nella riga di comando, un percorso del registro di sistema o altri elementi. Specificare l'oggetto in base al seguente modello:
object://<oggetto>,dove<oggetto>si riferisce al nome dell'oggetto, ad esempioobject://esempio.sito.web.com,object://VBA, object://ipconfig,object://HKEY_USERS. È inoltre possibile utilizzare le maschere, ad esempioobject://*C:\Windows\temp\*. - Hash oggetto origine. Codice hash file.
La regola di Controllo adattivo delle anomalie non viene applicata alle azioni eseguite dall'oggetto o ai processi avviati dall'oggetto.
- Processo di origine. Percorso o maschera del percorso del file o della cartella contenente i file (ad esempio,
- Specificare le impostazioni dell'oggetto di destinazione o dei processi di destinazione avviati nell'oggetto.
- Processo di destinazione. Percorso o maschera del percorso del file o della cartella contenente i file (ad esempio,
С:\Dir\File.exeoDir\*.exe). - Hash processo destinazione. Codice hash file.
- Oggetto di destinazione. Il comando per avviare il processo di destinazione. Specificare il comando utilizzando il modello seguente
object://<comando>, ad esempioobject://cmdline:powershell -Command "$result = 'C:\Windows\temp\result_local_users_pwdage txt'". È inoltre possibile utilizzare le maschere, ad esempioobject://*C:\Windows\temp\*. - Hash oggetto destinazione. Codice hash file.
La regola di Controllo adattivo delle anomalie non viene applicata alle azioni eseguite sull'oggetto o ai processi avviati sull'oggetto.
- Processo di destinazione. Percorso o maschera del percorso del file o della cartella contenente i file (ad esempio,
- Salvare le modifiche.