Issue:
Mit WithSecure Elements Endpoint Detection and Response (EDR) wird eine sichere Anwendung (z. B. eine interne Anwendung) erkannt. Wie kann die Erkennung auf die Whitelist gesetzt werden?
Resolution:
Sie können die Broad Context Detection (BCD) als „Akzeptiertes Verhalten“ schließen, um eine Unterdrückungsregel zu erstellen, die das Verhalten eines Benutzers oder Prozesses akzeptiert. Gehen Sie dazu folgendermaßen vor:
- Melden Sie sich beim Elements Security Center unter https://elements.withsecure.com an
- Erweitern Sie die Kategorie EVENTS im linken Bereich
- Wählen Sie die Option „Broad Context Detections“ (Breite Kontexterkennung)
- Klicken Sie auf die jeweilige Broad Context Detection, um die Detailseite für diese Erkennung zu öffnen
- Klicken Sie auf das Dropdown-Menü in der oberen linken Ecke
- Wählen Sie im Dropdown-Menü „ Geschlossen“ und dann als Grund „Akzeptiertes Verhalten“ aus.
- Klicken Sie auf die Schaltfläche Regel erstellen und folgen Sie den Anweisungen auf dem Bildschirm
Anschließend können Sie die Unterdrückungsregel überprüfen, indem Sie die folgenden Schritte ausführen:- Erweitern Sie die Kategorie Sicherheitskonfigurationen im linken Bereich
- Wählen Sie die Option Automatisierte Aktionen
- Unterdrückungsregeln auswählen
Weitere Informationen zu dieser Funktion finden Sie im folgenden Community-Artikel:
https://community.withsecure.com/en/kb/articles/31324-elements-edr-new-feature-accepted-behavior
Wenn beim Erstellen der Unterdrückungsregeln ein Problem auftritt (z. B. wenn mehr als 5 Schlüsselerkennungen im BCD vorhanden sind), können Sie den BCD mit den folgenden Schritten als „Falsch positiv“ schließen:- Melden Sie sich beim Elements Security Center unter https://elements.withsecure.com an.
- Erweitern Sie die Kategorie EVENTS im linken Bereich
- Wählen Sie die Option „Broad Context Detections“ (Breitenkontexterkennung) .
- Wählen Sie die BCD-ID aus, die auf die Whitelist gesetzt werden soll.
- Klicken Sie unten auf der Seite auf die Option „Status aktualisieren “.
- Wählen Sie „Geschlossen“ aus dem Dropdown-Menü und wählen Sie dann als Grund „Falsch positiv“ aus.
- Klicken Sie auf die Option „Aktualisieren“ .
Sobald Sie mindestens einen Vorfall haben, der mit dem Vorfall identisch ist, und es keinen identischen Vorfall gibt, dessen Status „Bestätigt geschlossen“ lautet, wird der Falsch-Positiv-Vorfall durch die Behandlung falsch-positiver Ereignisse in WithSecure Elements Endpoint Detection and Response (EDR) automatisch geschlossen.
Breitkontexterkennungen können automatisch als automatisches Falschpositiv geschlossen werden, wenn sie mit zuvor geschlossenen Fehlalarmen identisch sind. Damit WithSecure Elements Endpoint Detection and Response eine Erkennung als automatisches Falschpositiv schließen kann, müssen die folgenden Kriterien erfüllt sein:
- Der Vorfall muss New / Unconfirmed sein,
- Sie müssen einen identischen Vorfall in derselben Organisation wie False positive abgeschlossen haben und
- Es wurden keine identischen Vorfälle in derselben Organisation Confirmed .
Weitere Informationen zur automatischen Bearbeitung von Vorfällen finden Sie hier . Falls dieser Vorgang mehrmals ausgeführt wurde und die Datei immer noch erkannt wird, stellen Sie im Elements Security Center eine Whitelist-Anforderung für das False-Positive-Ereignis. Gehen Sie dazu wie folgt vor:
- Wählen Sie Support
- Wählen Sie „Antrag auf Zulassungsliste“
- Überprüfen Sie, ob die folgenden Felder richtig ausgefüllt sind:
- Problemkategorie -> Bedrohung/Malware
- Problemunterkategorie -> Falsch - Positiv
- Produktname -> Elemente Endpoint Detection & Response
- Sprache -> Englisch
- Geben Sie unter „Beschreiben Sie das Problem im Detail “ 3–5 Beispiele für Broad Context Detection IDs (BCD-IDs) an, einen Grund, warum dieser Inhalt auf die Whitelist gesetzt werden sollte, und den Umfang (einzelner Host, Unternehmensebene usw.).
- Füllen Sie die restlichen erforderlichen Fallinformationen aus. Korrekte und vollständige Angaben helfen uns, Sie zu identifizieren und Ihnen den richtigen Service zu bieten.
- Klicken Sie auf „Senden“ , um das Support-Ticket zu öffnen
Article no: 000008622
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.