Création et modification d'une exclusion pour une règle du Contrôle évolutif des anomalies

Pour les règles du Contrôle évolutif des anomalies, il est impossible de créer plus de 1 000 exclusions. Il est déconseillé de créer plus de 200 exclusions. Pour diminuer la quantité d'exclusions utilisées, il est conseillé d'utiliser des masques dans les paramètres des exclusions.

L'exclusion pour la règle du Contrôle évolutif des anomalies contient une description des objets source et cible. L'objet source est l'objet qui exécute l'action. L'objet cible est l'objet qui subit l'action. Par exemple, vous avez ouvert le fichier file.xlsx. Cela entraîne l'ajout dans la mémoire de l'ordinateur d'une bibliothèque portant l'extension dll utilisée par le navigateur (fichier exécutable browser.exe). Dans l'exemple donné, file.xlsx est l'objet source. Excel est le processus source, browser.exe est l'objet cible et Browser, le processus cible.

Pour créer ou modifier une exclusion pour une règle du Contrôle évolutif des anomalies, procédez comme suit :

  1. Dans la fenêtre principale de l'application, cliquez sur le bouton Configuration.
  2. Dans la section Contrôles de sécurité qui se trouve dans la partie gauche de la fenêtre, sélectionnez la sous-section Contrôle évolutif des anomalies.

    Les paramètres du module Contrôle évolutif des anomalies apparaissent dans la partie droite de la fenêtre.

  3. Sélectionnez une règle dans le tableau de la partie droite de la fenêtre.
  4. Cliquez sur le bouton Modifier.

    La fenêtre Règle du Contrôle évolutif des anomalies s'ouvre.

  5. Exécutez une des actions suivantes :
    • Si vous voulez ajouter une exclusion, cliquez sur le bouton Ajouter.
    • Pour modifier une exclusion existante, sélectionnez une ligne dans le tableau Exclusions, puis cliquez sur le bouton Modifier.

    La fenêtre Exclusion de la règle s'ouvre.

  6. Dans le champ Description, saisissez une description de l'exclusion.
  7. Cliquez sur le bouton Parcourir à côté du champ Utilisateur pour indiquer les utilisateurs qui sont concernés par l'exclusion.

    La fenêtre de Microsoft Windows Sélectionnez Utilisateurs ou Groupes s'ouvre.

  8. Définissez les paramètres de l'objet source ou du processus source lancés par l'objet :
    • Processus source. Le chemin ou le masque du chemin d'accès au fichier ou au dossier contenant les fichiers (par exemple, С:\Dir\File.exe ou Dir\*.exe).
    • Hash du processus source. Hash du fichier.
    • Objet source. Le chemin ou le masque du chemin d'accès au fichier ou au dossier contenant les fichiers (par exemple, С:\Dir\File.exe ou Dir\*.exe). Par exemple, le chemin d'accès au fichier document.docm qui lance les processus cibles à l'aide d'un script ou d'une macro.

      Vous pouvez renseigner également d'autres objets pour l'exclusion, par exemple une adresse Internet, des macros, une commande de la ligne de commande, le chemin d'accès au registre, etc. Désignez l'objet selon le modèle suivant : object://<objet>,<objet> désigne le nom de l'objet, par exemple, object://web.site.example.com, object://VBA, object://ipconfig, object://HKEY_USERS. Vous pouvez également utiliser des masques, par exemple, object://*C:\Windows\temp\*.

    • Hash de l'objet source. Hash du fichier.

    La règle du Contrôle évolutif des anomalies ne s'applique pas aux actions exécutées par l'objet, ni aux processus lancés par l'objet.

  9. Définissez les paramètres de l'objet cible ou des processus cibles exécutés sur l'objet.
    • Processus cible. Le chemin ou le masque du chemin d'accès au fichier ou au dossier contenant les fichiers (par exemple, С:\Dir\File.exe ou Dir\*.exe).
    • Hash du processus cible. Hash du fichier.
    • Objet cible. Commande pour lancer le processus cible. Saisissez la commande selon le modèle suivant object://<commande>, par exemple, object://cmdline:powershell -Command "$result = 'C:\windows\temp\result_local_users_pwdage.txt'". Vous pouvez également utiliser des masques comme object://*C:\windows\temp\*.
    • Hash de l'objet cible. Hash du fichier.

    La règle du Contrôle évolutif des anomalies ne s'applique pas aux actions exécutées sur l'objet, ni sur processus exécutés sur l'objet.

  10. Dans la fenêtre Exclusion de la règle, cliquez sur OK.
  11. Dans la fenêtre Règle du Contrôle évolutif des anomalies, cliquez sur OK.
  12. Cliquez sur le bouton Enregistrer pour enregistrer les modifications apportées.
Haut de page