[KB8318] Créer des exclusions dans ESET Inspect et ESET Inspect On-Prem

Problème

• Ajouter des exclusions à ESET Inspect ou ESET Inspect On-Prem
• Ajouter un événement déclencheur
• Injection dans un processus de confiance/processus système
• Le processus de confiance a chargé une DLL suspecte
• Ajouter un processus parent

Détails

Solution

Ajouter un événement déclencheur

1. Connectez-vous à ESET Inspect. Utilisateurs d'ESET Inspect On-Prem, ouvrez la console Web d'ESET Inspect dans votre navigateur Web et connectez-vous.
   
   
2. Cliquez sur Détections, cliquez sur le menu déroulant à côté de Détections et sélectionnez Règles. Cliquez sur l'icône en forme de roue dentée située sous le bouton Protéger.
   
   

   

3. Sélectionnez Sélectionner les colonnes.
   
   

   

4. Tapez Trigger dans le champ Enter quick search pattern. et cochez la case située à côté de Trigger Event.
   
   

   

Injection dans un processus/système de confiance

1. Connectez-vous à ESET Inspect. Pour les utilisateurs d'ESET Inspect On-Prem, ouvrez la console Web d'ESET Inspect dans votre navigateur Web et connectez-vous.
   
   
2. Cliquez sur Détections, cliquez sur le menu déroulant à côté de Détections et sélectionnez Règles. Développez la règle pour afficher toutes les détections associées à la règle.
   
   

   

3. Dans le type de filtre Exécutable , saisissez le nom de l'exécutable et appuyez sur Entrée. Faites défiler vers la droite pour afficher le nom complet de l'événement déclencheur.

4. Cochez la case située à côté de la détection.
   
   

   

5. Cliquez sur Create Exclusion (Créer une exclusion).
   
   
6. Saisissez un nom pour l'exclusion et cliquez sur Criteria.
   
   

   

7. Vérifiez que les champs Exclure les processus qui correspondent à ces critères sont sélectionnés et cliquez sur Editeur avancé
   • Leprocessus actuel est sélectionné
   • Lenom du processus est l'un de a le type d'exécutable correct
   • Nom du signataire est l'un de a le signataire correct sélectionné
   • Letype de signataire est a Trusted ou Valid sélectionné

8. Ajoutez le code des opérations à l'expression d'exclusion. Cliquez sur Créer une exclusion
   • La nouvelle balise <opérations> doit être placée entre les balises de fermeture </processus> et </définition> existantes.
   • La condition et la valeur de l'opération varient en fonction du nom de l'événement déclencheur. Par exemple, si le nom de l'événement déclencheur est le même pour chaque détection, la condition sera égale à is et la valeur peut être égale au nom de l'événement déclencheur. Si le nom de l'événement déclencheur contient des informations uniques, la condition peut être réglée sur starts et une ligne distincte peut être réglée sur ends. Dans la figure 2-6, l'exemple montre les conditions définies pour les débuts et les fins.

<opérations> <opération type="Codeinjection"> <opérateur type="and"> <condition component="FileItem" property="FullPath" condition="is" value=""/> </opérateur> </opération> </opérations> </operations>

9. Pour plus d'informations sur la syntaxe et les règles XML, consultez le Guide des règles ESET Inspect. ESET propose des services de sécurité pour ESET Inspect. Contactez votre représentant local pour obtenir de l'aide.

Le processus de confiance a chargé une DLL suspecte

3. Ajoutez le code des opérations à l'expression d'exclusion. Cliquez sur Créer une exclusion.

• • La nouvelle balise <opérations> doit être placée entre les balises de fermeture </processus> et </définition> existantes.
  • La condition et la valeur de l'opération varient en fonction du nom de l'événement déclencheur. Par exemple, si le nom de l'événement déclencheur est le même pour chaque détection, la condition sera égale à is et la valeur peut être égale au nom de l'événement déclencheur. Si le nom de l'événement déclencheur contient des informations uniques, la condition peut être réglée sur starts et une ligne distincte peut être réglée sur ends. Dans la figure 3-2, l'exemple montre les conditions définies pour les débuts et les fins.

Ajout d'un processus parent

Pour créer une exclusion plus stricte, ajoutez un processus parent à l'expression d'exclusion indiquée ci-dessous.

<opérations> <opération type="LoadDLL"> <opérateur type="and"> <condition component="FileItem" property="FullPath" condition="is" value=""/> </opérateur> </opération> </opérations> </opérations>

4. Pour plus d'informations sur la syntaxe et les règles XML, consultez le Guide des règles ESET Inspect. ESET propose des services de sécurité pour ESET Inspect. Contactez votre représentant local pour obtenir de l'aide.

---

Ajout d'un processus parent

L'ajout d'un processus parent à l'expression d'exclusion crée une exclusion plus stricte.

1. Créez l'exclusion initiale.
   
   
2. Ouvrez une nouvelle instance d'ESET Inspect ou d'ESET Inspect On-Prem. Utilisateurs d'ESET Inspect, connectez-vous à votre ESET PROTECT Hub ou à votre compte ESET Business et cliquez sur Ouvrir Inspect. Utilisateurs d'ESET Inspect On-Prem, ouvrez la console Web ESET Inspect dans votre navigateur Web et connectez-vous.
   
   
3. Dans la fenêtre Critères, sélectionnez Processus parent. Sélectionnez l'option correcte pour Nom du processus est l'un de, Chemin du processus commence par, Nom du signataire est l'un de et Type de signature est. Cliquez sur Editeur avancé.
   
   

4. Copiez l'intégralité de l'expression qui commence par <parentprocess> et se termine par </parentprocess>.
   
   

5. Revenez à l'exclusion d'origine et collez le processus parent dans l'expression d'exclusion au-dessus du <processus> actuel.
   
   

6. Dans la nouvelle instance d'ESET Inspect/ESET Inspect On-Prem, cliquez sur Annuler pour annuler l'exclusion du processus parent.

ESET Security Services for ESET Inspect On-Prem and ESET Inspect

ESET offers various security service packages and additional support for these applications. Support for ESET Inspect On-Prem and ESET Inspect is limited and managing rules or exclusions are not included without an ESET Security Service package. Contact a sales representative for further assistance.