[KB8318] Izslēgumu izveide ESET Inspect un ESET Inspect On-Prem programmā

Izdevums

• Izslēgumu pievienošana ESET Inspect vai ESET Inspect On-Prem
• Pievienot sprūda notikumu
• Injekcija uzticamā procesā/sistēmas procesā
• Uzticamajā procesā ielādēta aizdomīga DLL
• Pievienot vecāku procesu

Sīkāka informācija

Risinājums

Pievienot trigeru notikumu

1. Autorizējieties ESET Inspect. ESET Inspect On-Prem lietotāji, atveriet ESET Inspect Web Console savā tīmekļa pārlūkprogrammā un piesakieties.
   
   
2. Noklikšķiniet uz Atklāšanas, noklikšķiniet uz nolaižamajā izvēlnē blakus Atklāšanas un izvēlieties Noteikumi. Noklikšķiniet uz zobrata ikonas zem pogas Aizsargāt.
   
   

   

3. Izvēlieties Atlasīt kolonnas.
   
   

   

4. Ierakstiet Trigger (Spriedējs) laukā Enter quick search pattern. (Ievadiet ātrās meklēšanas modeli.) un atzīmējiet izvēles rūtiņu blakus Trigger Event (Spriedēja notikums).
   
   

   

Injekcija uzticamā procesā/sistēmas procesā

1. Piesakieties ESET Inspect. ESET Inspect On-Prem lietotāji, atveriet ESET Inspect Web Console savā tīmekļa pārlūkprogrammā un piesakieties.
   
   
2. Noklikšķiniet uz Detections, noklikšķiniet uz nolaižamajā izvēlnē blakus Detections un izvēlieties Rules. Izvērsiet noteikumu, lai apskatītu visus ar noteikumu saistītos noteikumos ietvertos atklāšanas gadījumus.
   
   

   

3. Sadaļā Izpildāmā filtra tips ierakstiet izpildāmā faila nosaukumu un nospiediet Enter. Ritiniet pa labi, lai skatītu pilnu sprūda notikuma nosaukumu.

4. Atlasiet izvēles rūtiņu blakus atklāšanai.
   
   

   

5. Noklikšķiniet uz Izslēgšanas izveide.
   
   
6. Ierakstiet izslēgšanas nosaukumu un noklikšķiniet uz Kritēriji.
   
   

   

7. Pārbaudiet, vai ir atlasīti lauki Izslēgt procesus, kas atbilst šiem kritērijiem, un noklikšķiniet uz Izvērstais redaktors
   • Ir atlasītspašreizējais process
   • Procesa nosaukums ir viens no pareizajiem izpildāmo failu tipiem
   • Signer Name (parakstītāja nosaukums) ir izvēlēts pareizais parakstītājs
   • Ir izvēlēts šādsparakstītāja tips: Trusted vai Valid

8. Izslēgšanas izteiksmei pievienojiet operāciju kodu. Noklikšķiniet uz Izveidot izslēgšanu
   • Jaunā <operations> tagu jānovieto starp esošajiem </process> un </definition> noslēdzošajiem tagiem.
   • Nosacījums un vērtība operācijā mainīsies atkarībā no Trigger Event nosaukuma. Piemēram, ja trigera notikuma nosaukums ir vienāds katrai atklāšanai, nosacījums būs vienāds ar is, un vērtība var būt vienāda ar trigera notikuma nosaukumu. Ja trigera notikuma nosaukumam ir unikāla informācija, nosacījums var būt iestatīts uz sākumiem un atsevišķa rinda var būt iestatīta uz galiem. Piemērā 2-6. attēlā ir parādīti nosacījumi, kas iestatīti uz sākumiem un galiem.

<operations> <operation type="Codeinjection"> <operator type="and"> <condition component="FileItem" property="FullPath" condition="is" value=""/> </operator> </operation> </operation> </operations>

9. Lai iegūtu vairāk informācijas par XML sintaksi un noteikumiem, skatiet ESET Inspect noteikumu rokasgrāmatu. ESET piedāvā ESET Inspect drošības pakalpojumus. Lai saņemtu papildu palīdzību, sazinieties ar vietējo tirdzniecības pārstāvi.

Uzticams process ielādēja aizdomīgu DLL

3. Izslēgšanas izteiksmei pievienojiet operāciju kodu. Noklikšķiniet uz Izveidot izslēgšanu.

• • Jaunā <operations> tagu jānovieto starp esošajiem </process> un </definition> noslēdzošajiem tagiem.
  • Nosacījums un vērtība operācijā mainīsies atkarībā no trigera notikuma nosaukuma. Piemēram, ja trigera notikuma nosaukums ir vienāds katrai atklāšanai, nosacījums būs vienāds ar is, un vērtība var būt vienāda ar trigera notikuma nosaukumu. Ja trigera notikuma nosaukumam ir unikāla informācija, nosacījums var būt iestatīts uz sākumiem un atsevišķa rinda var būt iestatīta uz galiem. Piemēram, 3-2. attēlā ir parādīti nosacījumi, kas iestatīti uz sākumiem un galiem.

Pievienot vecāku procesu

Lai izveidotu stingrāku izslēgšanu, papildus turpmāk parādītajai izslēgšanas izteiksmei pievienojiet Vecāka procesu.

<operācijas> <operācija tips="LoadDLL"> <operators tips="and"> <nosacījums komponents="FileItem" īpašība="FullPath" nosacījums="is" vērtība=""/> </operācija> </operācija> </operācija> </operācijas>

4. Lai iegūtu vairāk informācijas par XML sintaksi un noteikumiem, skatiet ESET Inspect noteikumu rokasgrāmatu. ESET piedāvā ESET Inspect drošības pakalpojumus. Lai saņemtu papildu palīdzību, sazinieties ar vietējo tirdzniecības pārstāvi.

---

Pievienojiet vecāku procesu

Pievienojot Izslēgšanas izteiksmei Vecāku procesu, tiek izveidota stingrāka izslēgšana.

1. Izveidojiet sākotnējo izslēgšanu.
   
   
2. Atveriet jaunu ESET Inspect vai ESET Inspect On-Prem gadījumu. ESET Inspect lietotāji, piesakieties savā ESET PROTECT Hub vai ESET Business kontā un noklikšķiniet uz Open Inspect. ESET Inspect On-Prem lietotāji, atveriet ESET Inspect Web Console savā tīmekļa pārlūkprogrammā un piesakieties.
   
   
3. Kritēriju logā izvēlieties Vecākais process. Izvēlieties pareizo opciju Process Name is one of, Process path starts with, Signer Name is one of un Signature type is. Noklikšķiniet uz Paplašinātā redaktora.
   
   

4. Kopējiet visu izteiksmi, kas sākas ar <parentprocess> un beidzas ar </parentprocess>.
   
   

5. Atgriezieties atpakaļ pie sākotnējās izslēgšanas un ielīmējiet Vecāku procesu izslēgšanas izteiksmē virs pašreizējā <process>.
   
   

6. Jaunajā ESET Inspect/ESET Inspect On-Prem instancē noklikšķiniet uz Atcelt, lai atceltu Vecāka procesa izslēgšanu.

ESET Security Services for ESET Inspect On-Prem and ESET Inspect

ESET offers various security service packages and additional support for these applications. Support for ESET Inspect On-Prem and ESET Inspect is limited and managing rules or exclusions are not included without an ESET Security Service package. Contact a sales representative for further assistance.