[KB8318] Opret udelukkelser i ESET Inspect og ESET Inspect On-Prem

BEMÆRK:

Denne side er blevet oversat af en computer. Klik på engelsk under Sprog på denne side for at få vist den originale tekst. Hvis du finder noget uklart, bedes du kontakte din lokale support.

Problem

Detaljer om processen

Klik her for at udvide

Når en proces injicerer sig selv i en system/betroet proces, vil ESET Inspect eller ESET Inspect On-Prem returnere en detektion. Dette vil skabe flere falske positive detektioner. For at løse de falske positiver skal du oprette en udelukkelse, der inkluderer den proces, der forsøger at injicere sig selv i systemet/den betroede proces.

For mere information om XML-syntaks og regler, se ESET Inspect Rules Guide. ESET tilbyder sikkerhedstjenester til ESET Inspect. Kontakt din lokale salgsrepræsentant for at få yderligere hjælp.

Løsning

ESET Security Services for ESET Inspect On-Prem and ESET Inspect

ESET offers various security service packages and additional support for these products. Support for ESET Inspect On-Prem and ESET Inspect is limited and managing rules or exclusions are not included without an ESET Security Service package. Contact a sales representative for further assistance.

Tilføj udløserhændelse

Regler for udelukkelse

Den angivne kode gælder kun for de regler, der er anført nedenfor. Andre regler vil kræve anden kodning for deres specifikke udelukkelse.

  • Indsprøjtning i betroet proces
  • Indsprøjtning i systemproces
  • Betroet proces indlæst mistænkelig DLL
Brugere skal oprette en ny udelukkelse for hver regel.
  1. Log ind på ESET Inspect. ESET Inspect On-Prem-brugere skal åbne ESET Inspect Web Console i deres webbrowser og logge ind.

  2. Klik på Detections, klik på rullemenuen ved siden af Detections , og vælg Rules. Klik på tandhjulsikonet under knappen Protect.

    Figur 1-1
  3. Vælg Vælg kolonner.

    Figur 1-2
  4. Skriv Trigger i feltet Enter quick search pattern. og marker afkrydsningsfeltet ved siden af Trigger Event.

    Figur 1-3

Indsprøjtning i betroet proces/ systemproces

  1. Log ind på ESET Inspect. ESET Inspect On-Prem-brugere skal åbne ESET Inspect Web Console i deres webbrowser og logge ind.

  2. Klik på Detections, klik på rullemenuen ved siden af Detections, og vælg Rules. Udvid reglen for at se alle registreringer, der er knyttet til reglen.

    Figur 2-1
  3. Skriv navnet på den eksekverbare fil i filtertypen Executable , og tryk på Enter. Rul til højre for at se det fulde navn på udløserhændelsen.
Eksekverbar og udløsende hændelse

Brugere skal sammenligne og kontrastere den eksekverbare type og deres hændelsesudløseroplysninger for at finde ligheder mellem opdagelser. Registreringer, der har den samme eksekverbare fil, udløserhændelse og kommando, vil blive ekskluderet korrekt. Det kan være nødvendigt at oprette mere end én udelukkelse.

Figur 2-2
  1. Marker afkrydsningsfeltet ved siden af registreringen.

    Figur 2-3
  2. Klik på Opret udelukkelse.

  3. Skriv et navn til udelukkelsen, og klik på Kriterier.

    Figur 2-4
  4. Kontrollér, at felterne Exclude Processes that match these criteria er markeret, og klik på Advanced Editor
    • Denaktuelle proces er valgt
    • Procesnavn er en af har den korrekte eksekverbare type
    • Signer Name er en af har den korrekte underskriver valgt
    • Signatortype er har valgt Betroet eller Gyldig
Ekskluder processer, der matcher disse kriterier

Nogle udelukkelser kan kræve, at der vælges yderligere kriterier. For eksempel indeholder Cmd. line eller Computer is one of.

Figur 2-5
  1. Tilføj operationskoden til udelukkelsesudtrykket. Klik på Opret udelukkelse
    • Det nye <operations>-tag skal placeres mellem de eksisterende </process>- og </definition>-lukningstag.
    • Betingelsen og værdien i operationen vil variere baseret på navnet på udløserhændelsen. Hvis f.eks. navnet på den udløsende hændelse er det samme for hver detektion, vil betingelsen være lig med er, og værdien kan være lig med navnet på den udløsende hændelse. Hvis navnet på udløserhændelsen har unikke oplysninger, kan betingelsen indstilles til starter , og en separat linje kan indstilles til slutter. I Figur 2-6 viser eksemplet betingelserne indstillet til start og slut.
Tilføj en overordnet proces

For at skabe en strengere udelukkelse tilføjes en overordnet proces ud over udelukkelsesudtrykket vist nedenfor.

<operationer> <operation type="Codeinjection"> <operator type="and"> <condition component="FileItem" property="FullPath" condition="is" value=""/> </operator> </operation> </operationer>
 
Figur 2-6
  1. Du kan få flere oplysninger om XML-syntaks og regler i ESET Inspect Rules Guide. ESET tilbyder sikkerhedstjenester til ESET Inspect. Kontakt din lokale salgsrepræsentant for at få yderligere hjælp.

Betroet proces indlæste mistænkelig DLL

  1. Udfør trin 1-6 fra afsnittet Injection into trusted process/system process.

  2. Kontrollér, at felterne Ekskluder processer, der matcher disse kriterier, er valgt. Klik på Advanced Editor.
    • Nuværende proces er valgt
    • Procesnavn er et af har den korrekte eksekverbare type
    • Processti starter med er afsluttet
    • Cmd. linje indeholder indeholder en filsti
    • Signer Name er en af har den korrekte signer valgt
    • Signer type er har valgt Trusted eller Valid
Ekskluder processer, der matcher disse kriterier

Nogle udelukkelser kan kræve, at der vælges yderligere kriterier. For eksempel er Computer en af.

Figur 3-1
  1. Føj operationskoden til udelukkelsesudtrykket. Klik på Opret udelukkelse.
    • Det nye <operations>-tag skal placeres mellem de eksisterende </process>- og </definition>-lukningstag.
    • Betingelsen og værdien i operationen vil variere afhængigt af navnet på udløserhændelsen. Hvis f.eks. navnet på den udløsende hændelse er det samme for hver registrering, vil betingelsen være lig med er, og værdien kan være lig med navnet på den udløsende hændelse. Hvis navnet på udløserhændelsen har unikke oplysninger, kan betingelsen indstilles til starter , og en separat linje kan indstilles til slutter. I Figur 3-2 viser eksemplet betingelserne indstillet til start og slut.
Tilføj en overordnet proces

For at skabe en strengere udelukkelse tilføjes en overordnet proces ud over udelukkelsesudtrykket vist nedenfor.

<operationer> <operation type="LoadDLL"> <operator type="and"> <condition component="FileItem" property="FullPath" condition="is" value=""/> </operator> </operation> </operationer>
Figur 3-2
  1. Du kan få flere oplysninger om XML-syntaks og regler i ESET Inspect Rules Guide. ESET tilbyder sikkerhedstjenester til ESET Inspect. Kontakt din lokale salgsrepræsentant for at få yderligere hjælp.

Tilføjelse af en overordnet proces

Tilføjelse af en overordnet proces til udelukkelsesudtrykket skaber en strengere udelukkelse.
  1. Opret den første udelukkelse.

  2. Åbn en ny forekomst af ESET Inspect eller ESET Inspect On-Prem. ESET Inspect-brugere skal logge ind på deres ESET PROTECT Hub eller ESET Business-konto og klikke på Open Inspect. ESET Inspect On-Prem-brugere skal åbne ESET Inspect Web Console i deres webbrowser og logge ind.

  3. Vælg Parent process i vinduet Criteria. Vælg den korrekte indstilling for Process Name is one of, Process path starts with, Signer Name is one of og Signature type is. Klik på Advanced Editor.

Figur 4-1
  1. Kopier hele det udtryk, der starter med <parentprocess> og slutter med </parentprocess>.

Figur 4-2
  1. Gå tilbage til den oprindelige eksklusion, og indsæt Parent-processen i eksklusionsudtrykket over den aktuelle <process>.

Figur 4-3
  1. I den nye instans af ESET Inspect/ESET Inspect On-Prem skal du klikke på Cancel for at annullere udelukkelsen af Parent-processen.
ESET Security Services for ESET Inspect On-Prem and ESET Inspect

ESET offers various security service packages and additional support for these products. Support for ESET Inspect On-Prem and ESET Inspect is limited and managing rules or exclusions are not included without an ESET Security Service package. Contact a sales representative for further assistance.

Senest opdateret: Apr 8, 2025

Yderligere ressourcer

Brugervejledninger

ESET-forum

YouTube-videoer

ESET Status Portal Kontakt ESETs tekniske support

Eksisterende kunde?