Kaspersky Endpoint Security 12 for Windows

Creazione di un'esclusione per una regola di Controllo adattivo delle anomalie

8 luglio 2024

ID 175245

Non è possibile creare più di 1.000 esclusioni per le regole di Controllo adattivo delle anomalie. Non è consigliabile creare più di 200 esclusioni. Per ridurre il numero di esclusioni utilizzate, è consigliabile utilizzare le maschere nelle impostazioni delle esclusioni.

Un'esclusione per una regola di Controllo adattivo delle anomalie include una descrizione degli oggetti di origine e di destinazione. L'oggetto di origine è l'oggetto che esegue le azioni. L'oggetto di destinazione è l'oggetto in cui vengono eseguite le azioni. È stato ad esempio aperto un file denominato file.xlsx. In seguito a questa operazione, viene caricato nella memoria del computer un file della libreria con estensione DLL. Questa libreria è utilizzata da un browser (file eseguibile denominato browser.exe). In questo esempio file.xlsx è l'oggetto di origine, Excel è il processo di origine, browser.exe è l'oggetto di destinazione e Browser è il processo di destinazione.

Per creare un'esclusione per una regola di Controllo adattivo delle anomalie:

  1. Nella finestra principale dell'applicazione, fare clic sul pulsante Icona delle impostazioni dell'applicazione sotto forma di una ruota dentata..
  2. Nella finestra delle impostazioni dell'applicazione, selezionare Controlli di sicurezzaControllo adattivo delle anomalie.
  3. Nel blocco Regole, fare clic sul pulsante Modifica regole.

    Verrà visualizzato l'elenco delle regole di Controllo adattivo delle anomalie.

  4. Selezionare una regola nella tabella.
  5. Fare clic su Modifica.

    Verrà visualizzata la finestra delle proprietà delle regole di Controllo adattivo delle anomalie.

  6. Nel blocco Esclusioni, fare clic sul pulsante Aggiungi.

    Verrà visualizzata la finestra delle proprietà delle esclusioni.

  7. Selezionare l'utente per cui si desidera configurare un'esclusione. Creare un elenco di utenti da Active Directory.

    Controllo adattivo delle anomalie non supporta le esclusioni per i gruppi di utenti. Se si seleziona un gruppo di utenti, Kaspersky Endpoint Security non applica l'esclusione.

  8. Nel campo Descrizione immettere una descrizione dell'esclusione.
  9. Definire le impostazioni dell'oggetto di origine o del processo di origine avviato dall'oggetto:
    • Processo di origine. Percorso o maschera del percorso del file o della cartella contenente i file (ad esempio, С:\Dir\File.exe o Dir\*.exe).
    • Hash processo origine. Codice hash file.
    • Oggetto di origine. Percorso o maschera del percorso del file o della cartella contenente i file (ad esempio, С:\Dir\File.exe o Dir\*.exe). Ad esempio il percorso del file document.docm, che utilizza uno script o una macro per avviare i processi di destinazione.

      È inoltre possibile specificare altri oggetti da escludere, ad esempio un indirizzo Web, una macro, un comando nella riga di comando, un percorso del registro di sistema o altri elementi. Specificare l'oggetto in base al seguente modello: object://<oggetto>, dove <oggetto> si riferisce al nome dell'oggetto, ad esempio object://esempio.sito.web.com, object://VBA, object://ipconfig, object://HKEY_USERS. È inoltre possibile utilizzare le maschere, ad esempio object://*C:\Windows\temp\*.

    • Hash oggetto origine. Codice hash file.

    La regola di Controllo adattivo delle anomalie non viene applicata alle azioni eseguite dall'oggetto o ai processi avviati dall'oggetto.

  10. Specificare le impostazioni dell'oggetto di destinazione o dei processi di destinazione avviati nell'oggetto.
    • Processo di destinazione. Percorso o maschera del percorso del file o della cartella contenente i file (ad esempio, С:\Dir\File.exe o Dir\*.exe).
    • Hash processo destinazione. Codice hash file.
    • Oggetto di destinazione. Il comando per avviare il processo di destinazione. Specificare il comando utilizzando il modello seguente object://<comando>, ad esempio object://cmdline:powershell -Command "$result = 'C:\Windows\temp\result_local_users_pwdage.txt". È inoltre possibile utilizzare le maschere, ad esempio object://*C:\Windows\temp\*.
    • Hash oggetto destinazione. Codice hash file.

    La regola di Controllo adattivo delle anomalie non viene applicata alle azioni eseguite sull'oggetto o ai processi avviati sull'oggetto.

  11. Salvare le modifiche.

Hai trovato utile questo articolo?
Cosa pensi che potremmo migliorare?
Grazie per il feedback! Ci stai aiutando a migliorare.
Grazie per il feedback! Ci stai aiutando a migliorare.