[KB8318] Створення винятків в ESET Inspect та ESET Inspect On-Prem

ПРИМІТКА:

Ця сторінка перекладена за допомогою комп'ютера. Клацніть англійську мову в розділі Мови на цій сторінці, щоб переглянути оригінальний текст. Якщо вам щось незрозуміло, зверніться до місцевої служби підтримки.

Випуск

Деталі

Клацніть тут, щоб розгорнути

Коли процес впроваджується в системний/довірений процес, ESET Inspect або ESET Inspect On-Prem повертає повідомлення про виявлення. Це призведе до кількох хибнопозитивних виявлень. Щоб усунути хибні спрацьовування, створіть виняток, який включатиме процес, що намагається вбудуватися в систему/довірений процес.

Докладні відомості про синтаксис і правила XML див. в Посібнику з правил перевірки ESET. ESET пропонує послуги безпеки для ESET Inspect. Зверніться до місцевого торгового представника для отримання додаткової допомоги.

Рішення

ESET Security Services for ESET Inspect On-Prem and ESET Inspect

ESET offers various security service packages and additional support for these applications. Support for ESET Inspect On-Prem and ESET Inspect is limited and managing rules or exclusions are not included without an ESET Security Service package. Contact a sales representative for further assistance.

Додати тригерну подію

Правила виключення

Наданий код призначений лише для правил, перелічених нижче. Інші правила вимагатимуть іншого кодування для їх специфічного виключення.

  • Ін'єкція в довірений процес
  • Впровадження у системний процес
  • Довірений процес завантажив підозрілу DLL
Користувачі повинні створити нове виключення для кожного правила.
  1. Увійдіть до ESET Inspect. Користувачі ESET Inspect On-Prem, відкрийте веб-консоль ESET Inspect у веб-браузері та увійдіть в систему.

  2. Клацніть Виявлення, розкрийте спадне меню поруч із пунктом Виявлення та виберіть Правила. Клацніть значок шестерні під кнопкою Захистити.

    Малюнок 1-1
  3. Виберіть Вибрати стовпці.

    Малюнок 1-2
  4. Введіть Тригер у полі Введіть шаблон швидкого пошуку і встановіть прапорець біля пункту Тригерна подія.

    Малюнок 1-3

Впровадження в довірений процес/системний процес

  1. Увійдіть в ESET Inspect. Користувачі ESET Inspect On-Prem, відкрийте веб-консоль ESET Inspect у веб-браузері та увійдіть в систему.

  2. Клацніть Виявлення, розкрийте спадне меню поруч із пунктом Виявлення та виберіть Правила. Розгорніть правило, щоб переглянути всі виявлення, пов'язані з ним.

    Малюнок 2-1
  3. У полі Тип фільтра виконуваного файлу введіть назву виконуваного файлу і натисніть клавішу Enter. Прокрутіть праворуч, щоб побачити повну назву тригерної події.
Виконуваний файл і тригерна подія

Користувачам потрібно буде порівняти і зіставити тип виконуваного файлу та інформацію про подію-тригер, щоб визначити схожість між виявленнями. Виявлення з однаковими виконуваним файлом, тригерною подією та командою будуть належним чином виключені. Користувачам може знадобитися створити більше одного виключення.

Малюнок 2-2
  1. Встановіть прапорець поруч з виявленням.

    Малюнок 2-3
  2. Натисніть Створити виключення.

  3. Введіть назву виключення і натисніть Критерії.

    Малюнок 2-4
  4. Переконайтеся, що поля Виключити процеси, які відповідають цим критеріям, вибрано, і натисніть Розширений редактор
    • Поточний процес вибрано
    • Ім'я процесу має правильний тип виконуваного файлу
    • Ім'я підписувача - вибрано правильного підписувача
    • Тип підписувача вибрано Довірений або Дійсний
Виключити процеси, які відповідають цим критеріям

Для деяких винятків можуть знадобитися додаткові критерії. Наприклад, рядок Cmd. містить або Комп'ютер є одним із.

Малюнок 2-5
  1. Додайте код операції до виразу виключення. Натисніть кнопку Створити виключення
    • Новий тег <операції> потрібно розмістити між існуючими закриваючими тегами </процес> і </визначення>.
    • Умова і значення в операції залежатимуть від назви події-тригера. Наприклад, якщо ім'я тригерної події однакове для кожного виявлення, умова буде дорівнювати is , а значення може дорівнювати імені тригерної події. Якщо ім'я тригерної події містить унікальну інформацію, умову можна встановити в початок , а значення - в кінець окремого рядка. На Рисунку 2-6 показано приклад з умовами, встановленими на початку та в кінці.
Додавання батьківського процесу

Щоб створити більш суворе виключення, додайте батьківський процес на додаток до виразу виключення, показаного нижче.

<операції> <операція type="Codeinjection"> <оператор type="and"> <умова component="FileItem" property="FullPath" condition="is" value=""/> </оператор> </операція> </операція> </операції> </операції> </операції>
 
Малюнок 2-6
  1. Докладні відомості про синтаксис і правила XML див. в Посібнику з правил перевірки ESET. ESET пропонує послуги безпеки для ESET Inspect. Зверніться до місцевого торгового представника для отримання додаткової допомоги.

Довірений процес завантажив підозрілу DLL

  1. Виконайте кроки 1-6 з розділу "Впровадження в довірений процес/системний процес".

  2. Переконайтеся, що в полі Виключити процеси, які відповідають цим критеріям, встановлено прапорець. Натисніть Розширений редактор.
    • Вибранопоточний процес
    • Ім'я процесу має правильний тип виконуваного файлу
    • Шлях до процесу, з якого починається процес, заповнено
    • Командний рядок містить шлях до файлу
    • Ім'я підписувача - вибрано правильного підписувача
    • Тип підписувача має значення Trusted або Valid
Виключити процеси, які відповідають цим критеріям

Для деяких винятків можуть знадобитися додаткові критерії. Наприклад, комп'ютер є одним із них.

Малюнок 3-1
  1. Додайте код операції до виразу виключення. Натисніть кнопку Створити виключення.
    • Новий тег <операції> має бути розміщений між існуючими закриваючими тегами </процес> і </визначення>.
    • Умова і значення в операції залежатимуть від назви події-тригера. Наприклад, якщо ім'я тригерної події однакове для кожного виявлення, умова буде дорівнювати is , а значення може дорівнювати імені тригерної події. Якщо ім'я тригерної події містить унікальну інформацію, умову можна встановити в початок , а значення - в кінець окремого рядка. На Рисунку 3-2 у прикладі показано умови, встановлені для starts і ends.
Додавання батьківського процесу

Щоб створити більш суворе виключення, додайте батьківський процес на додаток до виразу виключення, показаного нижче.

<операції> <операція тип="LoadDLL"> <оператор тип="and"> <умова компонент="FileItem" властивість="FullPath" умова="is" значення=""/> </оператор> </операція> </операція> </операції> </операції> </операції>
Рисунок 3-2
  1. Докладні відомості про синтаксис і правила XML див. в Посібнику з правил перевірки ESET. ESET пропонує послуги безпеки для ESET Inspect. Зверніться до місцевого торгового представника для отримання додаткової допомоги.

Додавання батьківського процесу

Додавання батьківського процесу до виразу виключення створює суворіше виключення.
  1. Створіть початкове виключення.

  2. Відкрийте новий екземпляр ESET Inspect або ESET Inspect On-Prem. Користувачі ESET Inspect, увійдіть до свого ESET PROTECT Hub або бізнес-акаунта ESET і натисніть Відкрити інспекцію. Користувачі ESET Inspect On-Prem: відкрийте веб-консоль ESET Inspect у веб-браузері та увійдіть у систему.

  3. У вікні Критерії виберіть Батьківський процес. Виберіть правильне значення для параметрів Ім'я процесу - одне з, Шлях до процесу починається з, Ім'я підписувача- одне з і Тип підпису - одне з. Натисніть кнопку Додатковий редактор.

Малюнок 4-1
  1. Скопіюйте весь вираз, який починається з <батьківський процес> і закінчується </батьківський процес>.

Малюнок 4-2
  1. Поверніться до початкового виключення і вставте батьківський процес у вираз виключення над поточним <процесом>.

Малюнок 4-3
  1. У новому екземплярі ESET Inspect/ESET Inspect On-Prem натисніть кнопку Скасувати , щоб скасувати виключення батьківського процесу.
ESET Security Services for ESET Inspect On-Prem and ESET Inspect

ESET offers various security service packages and additional support for these applications. Support for ESET Inspect On-Prem and ESET Inspect is limited and managing rules or exclusions are not included without an ESET Security Service package. Contact a sales representative for further assistance.

Останнє оновлення: Mar 10, 2026

Додаткові ресурси

Посібники користувача

Форум ESET

Відео на YouTube
ESET Status Portal ESET Technical Support

Існуючий клієнт?