Issue:
WithSecure Elements Endpoint Detection and Response (EDR), détecte une application sûre (par exemple une application interne). Comment mettre la détection sur liste blanche ?
Resolution:
Vous pouvez fermer la détection de contexte large (BCD) en tant que « comportement accepté », pour créer une règle de suppression qui peut accepter le comportement d'un utilisateur ou d'un processus. Pour ce faire, vous devez suivre ces étapes :
- Connectez-vous au centre de sécurité Elements à l'adresse https://elements.withsecure.com
- Développez la catégorie ÉVÉNEMENTS dans le volet de gauche
- Sélectionnez l'option Détections de contexte large
- Cliquez sur la détection de contexte large correspondante pour ouvrir la page de détails de cette détection
- Cliquez sur le menu déroulant dans le coin supérieur gauche
- Sélectionnez Fermé dans le menu déroulant, puis sélectionnez la raison comme Comportement accepté
- Cliquez sur le bouton Créer une règle et suivez les instructions à l'écran
Après cela, vous pouvez revoir la règle de suppression en suivant ces étapes :- Développez la catégorie Configurations de sécurité dans le volet de gauche
- Sélectionnez l'option Actions automatisées
- Sélectionner les règles de suppression
Vous pouvez trouver plus d'informations sur cette fonctionnalité dans l'article communautaire suivant :
https://community.withsecure.com/en/kb/articles/31324-elements-edr-new-feature-accepted-behavior
Si vous rencontrez un problème lors de la création des règles de suppression (par exemple, si vous avez plus de 5 détections clés dans le BCD), vous pouvez fermer le BCD en tant que « Comportement accepté » en suivant ces étapes :- Connectez-vous au centre de sécurité Elements à l'adresse https://elements.withsecure.com.
- Développez la catégorie ÉVÉNEMENTS dans le volet de gauche
- Sélectionnez l’option Détections de contexte large .
- Sélectionnez l'ID BCD qui nécessite une liste blanche.
- Cliquez sur l’option « Mettre à jour le statut » en bas de la page.
- Sélectionnez « Fermé » dans le menu déroulant, puis sélectionnez la raison « Faux positif »
- Cliquez sur l'option « Mettre à jour » .
Une fois que vous avez au moins 1 incident identique à l' incident et qu'il n'y a aucun incident identique dont le statut est fermé comme confirmé, la gestion des faux positifs dans WithSecure Elements Endpoint Detection and Response (EDR) fermera automatiquement le faux positif.
Les détections de contexte large peuvent être automatiquement clôturées en tant que faux positif automatique lorsqu'elles sont identiques à des fausses alarmes précédemment clôturées. Pour que WithSecure Elements Endpoint Detection and Response ferme une détection de contexte large en tant que faux positif automatique, les critères suivants doivent être remplis :
- L'incident doit être New / Unconfirmed ,
- vous devez avoir fermé un incident identique dans la même organisation en tant que False positive , et
- aucun incident identique n'a été Confirmed au sein de la même organisation.
Vous trouverez plus d'informations sur la gestion automatique des incidents ici . Si cette opération a été effectuée plusieurs fois et que le fichier est toujours détecté, effectuez une demande de liste blanche pour l'événement Faux positif dans le Centre de sécurité Elements en procédant comme suit :
- Sélectionnez le support
- Sélectionner la demande d'inscription sur la liste blanche
- Vérifiez que les champs suivants sont correctement renseignés :
- Catégorie de problème -> Menace/programme malveillant
- Sous-catégorie de problème -> Faux positif
- Nom du produit -> Éléments de détection et de réponse aux points finaux
- Langue -> Anglais
- Sous Décrire le problème en détail , fournissez 3 à 5 exemples d'ID de détection de contexte large (BCD-ID), une raison pour laquelle ce contenu doit être mis sur liste blanche et la portée ( hôte unique, niveau de l'entreprise, etc.)
- Remplissez le reste des informations requises. Des informations correctes et complètes nous aident à vous identifier et à vous fournir le niveau de service approprié.
- Cliquez sur Soumettre pour ouvrir le ticket d'assistance
Article no: 000008622
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.