[KB8318] Ustvarjanje izključitev v programih ESET Inspect in ESET Inspect On-Prem

Izdaja

• Dodajanje izključitev v program ESET Inspect ali ESET Inspect On-Prem
• Dodajanje sprožilnega dogodka
• Vbrizgavanje v zaupanja vreden proces/sistemski proces
• Zaupanja vreden proces je naložil sumljivo knjižnico DLL
• Dodajte nadrejeni proces

Podrobnosti

Rešitev

Dodajte sprožilni dogodek

1. Prijavite se v program ESET Inspect. Uporabniki programa ESET Inspect On-Prem odprite spletno konzolo ESET Inspect v spletnem brskalniku in se prijavite.
   
   
2. Kliknite možnost Zaznave, kliknite spustni meni poleg možnosti Zaznave in izberite možnost Pravila. Kliknite ikono zobnika pod gumbom Zaščita.
   
   

   

3. Izberite možnost Izberite stolpce.
   
   

   

4. V polje Enter quick search pattern. vnesite Trigger (Sprožilec) in označite potrditveno polje poleg Trigger Event (Sprožilec dogodka).
   
   

   

Vbrizgavanje v zaupanja vreden proces/sistemski proces

1. Prijavite se v program ESET Inspect. Uporabniki programa ESET Inspect On-Prem odprite spletno konzolo ESET Inspect v spletnem brskalniku in se prijavite.
   
   
2. Kliknite možnost Zaznave, kliknite spustni meni poleg možnosti Zaznave in izberite možnost Pravila. Razširite pravilo, da si ogledate vsa zaznavanja, povezana s pravilom.
   
   

   

3. V polje Vrsta filtra Izvedljivi vnesite ime izvedljivega programa in pritisnite tipko Enter. Pomaknite se na desno, da si ogledate celotno ime sprožilnega dogodka.

4. Izberite potrditveno polje poleg zaznave.
   
   

   

5. Kliknite Ustvari izključitev.
   
   
6. Vnesite Ime za izključitev in kliknite Merila.
   
   

   

7. Preverite, ali so izbrana polja Exclude Processes that match these criteria (Izključi procese, ki ustrezajo tem merilom ), in kliknite Advanced Editor (Napredno urejanje)
   • Izbran jetrenutni proces
   • Ime procesa je eno od ima pravilno vrsto izvršilnega programa
   • Signer Name (Ime podpisnika) je eno od ima izbranega pravilnega podpisnika
   • Je izbranavrsta podpisnika Trusted ali Valid

8. Izrazu Exclusion (Izključitev) dodajte kodo operacij. Kliknite Ustvari izključitev
   • Novo oznako <operations> je treba postaviti med obstoječi zaključni oznaki </process> in </definition>.
   • Pogoj in vrednost v operaciji se bosta spreminjala glede na ime sprožilnega dogodka. Če je na primer ime sprožilnega dogodka enako za vsako zaznavanje, bo pogoj enak is , vrednost pa je lahko enaka imenu sprožilnega dogodka. Če ima ime Trigger Event (Dogodek sprožilca) edinstvene informacije, je lahko pogoj nastavljen na begins (začne) , ločena vrstica pa na ends (konča). Na sliki 2-6 primer prikazuje pogoje, ki so nastavljeni na začetek in konec.

<operations> <operation type="Codeinjection"> <operator type="and"> <condition component="FileItem" property="FullPath" condition="is" value=""/> </operator> </operation> </operations>

9. Za več informacij o sintaksi XML in pravilih glejte Vodnik po pravilih ESET Inspect. Družba ESET ponuja varnostne storitve za program ESET Inspect. Za nadaljnjo pomoč se obrnite na lokalnega prodajnega predstavnika.

Zaupanja vreden proces je naložil sumljivo knjižnico DLL

3. Izrazu Izključitev dodajte kodo operacij. Kliknite Ustvari izključitev.

• • Novo oznako <operations> je treba postaviti med obstoječi zaključni oznaki </process> in </definition>.
  • Pogoj in vrednost v operaciji se bosta spreminjala glede na ime sprožilnega dogodka. Če je na primer ime sprožilnega dogodka enako za vsako zaznavanje, bo pogoj enak is , vrednost pa je lahko enaka imenu sprožilnega dogodka. Če ima ime Trigger Event (Dogodek sprožilca) edinstvene informacije, je lahko pogoj nastavljen na begins (začne) , ločena vrstica pa na ends (konča). Na sliki 3-2 primer prikazuje pogoje, ki so nastavljeni na starts in ends.

Dodajanje nadrejenega procesa

Če želite ustvariti strožjo izključitev, poleg izraza za izključitev, prikazanega spodaj, dodajte še proces Parent.

<operations> <operation type="LoadDLL"> <operator type="and"> <condition component="FileItem" property="FullPath" condition="is" value=""/> </operator> </operation> </operations>

4. Za več informacij o sintaksi XML in pravilih glejte Vodnik po pravilih ESET Inspect. Družba ESET ponuja varnostne storitve za program ESET Inspect. Za nadaljnjo pomoč se obrnite na lokalnega prodajnega predstavnika.

---

Dodajanje nadrejenega procesa

Če izrazu za izključitev dodate nadrejeni proces, ustvarite strožjo izključitev.

1. Ustvarite začetno izključitev.
   
   
2. Odprite nov primerek programa ESET Inspect ali ESET Inspect On-Prem. uporabniki programa ESET Inspect, prijavite se v svoje središče ESET PROTECT ali poslovni račun ESET in kliknite Open Inspect. Uporabniki programa ESET Inspect On-Prem odprite spletno konzolo ESET Inspect v spletnem brskalniku in se prijavite.
   
   
3. V oknu Merila izberite Starševski proces. Izberite pravilno možnost za Process Name is one of, Process path begins with, Signer Name is one of in Signature type is. Kliknite Napredno urejanje.
   
   

4. Kopirajte celoten izraz, ki se začne z <parentprocess> in konča z </parentprocess>.
   
   

5. Vrnite se na prvotno izključitev in prilepite starševski proces v izraz za izključitev nad trenutnim <proces>.
   
   

6. V novem primeru programa ESET Inspect/ESET Inspect On-Prem kliknite Cancel (Prekliči) , da prekličete izključitev nadrejenega procesa.

ESET Security Services for ESET Inspect On-Prem and ESET Inspect

ESET offers various security service packages and additional support for these applications. Support for ESET Inspect On-Prem and ESET Inspect is limited and managing rules or exclusions are not included without an ESET Security Service package. Contact a sales representative for further assistance.