Kizárás létrehozása Adaptív Anomáliafelügyeleti szabályhoz
1000 kizárásnál többet nem hozhat létre az Adaptív Anomáliafelügyeleti szabályokból. Nem javasolt 200 kizárásnál többet létrehozni. A használt kizárások számának csökkentéséhez javasolt maszkokat használni a kizárások beállításaiban.
Az Adaptív Anomáliafelügyeleti szabályának egy kizárása tartalmazza a forrás- és célobjektumok leírását. A forrásobjektum egy objektum, ami végrehajtja a tevékenységeket. A célobjektum egy objektum, amin a tevékenységet végre vannak hajtva. Például megnyitott egy file.xlsx
nevű fájlt. Ennek eredményeképpen a DLL kiterjesztésű könyvtárfájl betöltődik a számítógépes memóriába. A könyvtárat a böngésző használja (a browser.exe
nevű végrehajtható fájl). Ebben a példában a file.xlsx
a forrásobjektum, az Excel a forrásfolyamat, a browser.exe
a célfájl, a Böngésző pedig a célobjektum.
Kizárás létrehozása Adaptív Anomáliafelügyeleti szabályhoz:
- Kattintson a fő alkalmazásablakban a gombra.
- Az alkalmazásbeállítások ablakában válassza a Biztonsági felügyelet → Adaptív Anomáliafelügyelő lehetőséget.
- A Szabályok blokkban kattintson a Szabályok szerkesztése gombra.
Az Adaptív Anomáliafelügyeleti szabálylista nyílik meg.
- Jelöljön ki egy szabályt a táblázatban.
- Kattintson a Szerkesztés gombra.
Az Adaptív Anomáliafelügyeleti szabály tulajdonságainak ablaka nyílik meg.
- A Kizárások blokkban kattintson a Hozzáadás gombra.
Megnyílik a kizárások tulajdonságai ablak.
- Válassza ki azt a felhasználót, akihez kizárást szeretne konfigurálni. Hozzon létre egy felhasználói listát az Active Directoryból.
Az Adaptív Anomáliafelügyelő a felhasználói csoportok esetében nem támogatja a kizárást. Felhasználói csoport kiválasztása esetén a Kaspersky Endpoint Security nem alkalmazza a kizárást.
- A Leírás mezőben adja meg a kizárás leírását.
- Adja meg az objektum által elindított forrásobjektum vagy forrásfolyamat beállításait:
- Forrásfolyamat. A fájl vagy a fájlt tartalmazó mappa elérési útja vagy annak maszkja (például:
С:\Dir\File.exe
vagyDir\*.exe
). - Forrásfolyamat kivonata. Fájl hash-kód.
- Forrásobjektum. A fájl vagy a fájlt tartalmazó mappa elérési útja vagy annak maszkja (például:
С:\Dir\File.exe
vagyDir\*.exe
). Például adocument.docm
fájlelérési útvonal, amely parancsfájl vagy makró használatával indítja el a célfolyamatokat.Megadhat egyéb objektumokat a kizáráshoz, például webcímeket, makrókat, parancsokat a parancssorban, beállításjegyzék útvonalakat és egyebeket. Adja meg az objektumot a következő sablon alapján:
object://<object>,
ahol az<object>
az objektum nevét jelenti, például:object://web.site.example.com
,object://VBA, object://ipconfig
,object://HKEY_USERS
. Maszkokat is használhat, például:object://*C:\Windows\temp\*
. - Forrásobjektum kivonata. Fájl hash-kód.
Az Adaptív Anomáliafelügyeleti szabály nincs alkalmazva az objektum által végrehajtott tevékenységeken, valamint az objektum által elindított folyamatokon.
- Forrásfolyamat. A fájl vagy a fájlt tartalmazó mappa elérési útja vagy annak maszkja (például:
- Adja meg az objektum által elindított célobjektum vagy célfolyamatok beállításait.
- Célfolyamat A fájl vagy a fájlt tartalmazó mappa elérési útja vagy annak maszkja (például:
С:\Dir\File.exe
vagyDir\*.exe
). - Célfolyamat kivonata. Fájl hash-kód.
- Célobjektum. A célfolyamatokat indító parancs. Adja meg a parancsot a következő sablon használatával:
object://<command>
, példáulobject://cmdline:powershell -Command "$result = 'C:\Windows\temp\result_local_users_pwdage.txt'"
. Maszkokat is használhat, például:object://*C:\Windows\temp\*
. - Célobjektum kivonata. Fájl hash-kód.
Az Adaptív Anomáliafelügyeleti szabály nincs alkalmazva az objektum által végbevitt tevékenységeken vagy az objektum által indított folyamatokon.
- Célfolyamat A fájl vagy a fájlt tartalmazó mappa elérési útja vagy annak maszkja (például:
- Mentse el a módosításokat.