Issue:
WithSecure Elements, Endpoint Detection and Response (EDR) détecte une application sûre (par exemple, une application interne). Comment autoriser la détection?
Resolution:
Vous pouvez fermer la détection de contexte large (BCD) en la définissant sur « Comportement accepté » afin de créer une règle de suppression acceptant le comportement d'un utilisateur ou d'un processus. Pour ce faire, procédez comme suit :
- Connectez-vous au centre de sécurité Elements à l'adresse https://elements.withsecure.com
- Développez la catégorie ÉVÉNEMENTS dans le volet de gauche
- Sélectionnez l'option Détections de contexte large
- Cliquez sur la détection de contexte large correspondante pour ouvrir la page de détails de cette détection
- Cliquez sur le menu déroulant dans le coin supérieur gauche
- Sélectionnez Fermé dans le menu déroulant, puis sélectionnez la raison comme Comportement accepté
- Cliquez sur le bouton Créer une règle et suivez les instructions à l'écran
Après cela, vous pouvez revoir la règle de suppression en suivant ces étapes :- Développez la catégorie Configurations de sécurité dans le volet de gauche
- Sélectionnez l'option Actions automatisées
- Sélectionnez les règles de suppression
Vous pouvez trouver plus d'informations sur cette fonctionnalité dans l'article communautaire suivant :
https://community.withsecure.com/en/kb/articles/31324-elements-edr-new-feature-accepted-behavior
Si vous rencontrez un problème lors de la création des règles de suppression (par exemple, si vous avez plus de 5 détections clés dans le BCD), vous pouvez fermer le BCD comme « Faux positif » en suivant ces étapes :- Connectez-vous au centre de sécurité Elements à l'adresse https://elements.withsecure.com.
- Développez la catégorie ÉVÉNEMENTS dans le volet de gauche
- Sélectionnez l’option Détections de contexte large .
- Sélectionnez l'ID BCD qui nécessite une liste blanche.
- Cliquez sur l'option « Mettre à jour le statut » en bas de la page.
- Sélectionnez « Fermé » dans le menu déroulant, puis sélectionnez la raison « Faux positif ».
- Cliquez sur l'option « Mettre à jour » .
Une fois que vous avez au moins 1 incident identique à l' incident et qu'il n'y a pas incident identique dont le statut est fermé comme confirmé, la gestion des faux positifs dans WithSecure Elements Endpoint Detection and Response (EDR) fermera automatiquement le faux positif.
Les détections de contexte général peuvent être automatiquement clôturées comme faux positifs automatiques lorsqu'elles sont identiques à des fausses alarmes précédemment clôturées. Pour que WithSecure Elements Endpoint Detection and Response clôture une détection de contexte général comme faux positif automatique, les critères suivants doivent être remplis :
- L'incident doit être New / Unconfirmed ,
- vous devez avoir clôturé un incident identique dans la même organisation en tant que False positive , et
- aucun incident identique dans la même organisation n'a été Confirmed .
Vous trouverez plus d'informations sur la gestion automatique des incidents ici . Si cette opération a été effectuée plusieurs fois et que le fichier est toujours détecté, effectuez une demande de liste blanche pour l'événement Faux positif dans le Centre de sécurité Elements en procédant comme suit :
- Sélectionnez Support
- Sélectionner la demande d'inscription sur la liste blanche
- Vérifiez que les champs suivants sont correctement renseignés :
- Catégorie de problème -> Menace/logiciel malveillant
- Sous-catégorie de problème -> Faux positif
- Nom du produit -> Éléments Détection et réponse aux points de terminaison
- Langue -> Anglais
- Sous Décrire le problème en détail , fournissez 3 à 5 exemples d'ID de détection de contexte large (BCD-ID), une raison pour laquelle ce contenu doit être ajouté à la liste blanche et la portée ( hôte unique, niveau de l'entreprise, etc.)
- Remplissez les informations complémentaires requises. Des informations exactes et complètes nous aident à vous identifier et à vous fournir le service approprié.
- Cliquez sur Soumettre pour ouvrir le ticket d'assistance
Article no: 000008622
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.