Issue:
Mit WithSecure Elements erkennt Endpoint Detection and Response (EDR) eine sichere Anwendung (z. B. eine interne Anwendung). Wie kann ich die Erkennung auf eine Whitelist setzen?
Resolution:
Sie können die Broad Context Detection (BCD) als „Akzeptiertes Verhalten“ schließen, um eine Unterdrückungsregel zu erstellen, die das Verhalten eines Benutzers oder eines Prozesses akzeptieren kann. Dazu müssen Sie die folgenden Schritte ausführen:
- Melden Sie sich beim Elements Security Center unter https://elements.withsecure.com an.
- Erweitern Sie die Kategorie EVENTS im linken Bereich
- Wählen Sie die Option „Broad Context Detections“ (Breiten Kontexterkennung) aus.
- Klicken Sie auf die jeweilige Broad Context Detection, um die Detailseite für diese Erkennung zu öffnen
- Klicken Sie auf das Dropdown-Menü in der oberen linken Ecke
- Wählen Sie Geschlossen aus dem Dropdown-Menü und wählen Sie dann als Grund Akzeptiertes Verhalten aus.
- Klicken Sie auf die Schaltfläche Regel erstellen und folgen Sie den Anweisungen auf dem Bildschirm
Anschließend können Sie die Unterdrückungsregel mit den folgenden Schritten überprüfen:- Erweitern Sie die Kategorie Sicherheitskonfigurationen im linken Bereich
- Wählen Sie die Option Automatisierte Aktionen
- Unterdrückungsregeln auswählen
Weitere Informationen zu dieser Funktion finden Sie im folgenden Community-Artikel:
https://community.withsecure.com/en/kb/articles/31324-elements-edr-new-feature-accepted-behavior
Wenn beim Erstellen der Unterdrückungsregeln ein Problem auftritt (z. B. wenn mehr als 5 Schlüsselerkennungen im BCD vorhanden sind), können Sie den BCD mit den folgenden Schritten als „Akzeptiertes Verhalten“ schließen:- Melden Sie sich beim Elements Security Center unter https://elements.withsecure.com an.
- Erweitern Sie die Kategorie EVENTS im linken Bereich
- Wählen Sie die Option „Broad Context Detections“ (Breitengradige Kontexterkennung) .
- Wählen Sie die BCD-ID aus, für die eine Whitelist erforderlich ist.
- Klicken Sie unten auf der Seite auf die Option „Status aktualisieren “.
- Wählen Sie „Geschlossen“ aus dem Dropdown-Menü und wählen Sie dann als Grund „Falschpositiv“ aus.
- Klicken Sie auf die Option „Aktualisieren“ .
Sobald Sie mindestens einen Vorfall haben, der mit dem Vorfall identisch ist, und es keinen identischen Vorfall gibt, dessen Status „Geschlossen“ als „Bestätigt“ lautet, wird der Falsch-Positiv-Vorfall durch die Behandlung falscher Positivwerte in WithSecure Elements Endpoint Detection and Response (EDR) automatisch geschlossen.
Breitkontexterkennungen können automatisch als automatischer Falschalarm geschlossen werden, wenn sie mit zuvor geschlossenen Falschalarmen identisch sind. Damit WithSecure Elements Endpoint Detection and Response eine Erkennung als automatischer Falschalarm schließt, müssen die folgenden Kriterien erfüllt sein:
- Der Vorfall muss New / Unconfirmed sein.
- Sie müssen einen identischen Vorfall in derselben Organisation wie False positive geschlossen haben und
- Es wurden keine identischen Vorfälle in derselben Organisation Confirmed .
Weitere Informationen zur automatischen Vorfallbehandlung finden Sie hier . Falls dieser Vorgang mehrmals durchgeführt wurde und die Datei noch immer erkannt wird, können Sie im Elements Security Center eine Whitelist-Anforderung für das False Positive-Ereignis stellen. Gehen Sie dazu wie folgt vor:
- Wählen Sie Support
- Wählen Sie Antrag auf Zulassungsliste
- Überprüfen Sie, ob die folgenden Felder korrekt ausgefüllt sind:
- Problemkategorie -> Bedrohung/Malware
- Problemunterkategorie - > Falsch-Positiv
- Produktname -> Elemente Endpoint Detection & Response
- Sprache -> Englisch
- Geben Sie unter „Beschreiben Sie das Problem im Detail “ drei bis fünf Beispiele für Broad Context Detection IDs (BCD-IDs), einen Grund, warum dieser Inhalt auf die Whitelist gesetzt werden sollte, und den Umfang (einzelner Host, Unternehmensebene usw.) an.
- Füllen Sie den Rest der erforderlichen Fallinformationen aus. Korrekte und vollständige Informationen helfen uns, Sie zu identifizieren und Ihnen das richtige Servicelevel bereitzustellen.
- Klicken Sie auf „Senden“, um das Support-Ticket zu öffnen
Article no: 000008622
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.