Issue:
Une alerte de sécurité DeepGuard est envoyée à la liste des événements de sécurité du portail Elements Endpoint Protection ou à la liste des alertes de la console Policy Manager.
Exemple:
Alerte de sécurité : DeepGuard a empêché une application non fiable de modifier un autre processus.
Détails : DeepGuard a empêché une application non fiable de modifier un autre processus. Chemin de l'application : C:\Program Files\exampleprogram\examplefile.exe Hachage du fichier : 2179dde55137b4a228135af0b45acc7752e13e15
Peut-il s'agir d'un faux positif et le fichier peut-il être exclu ?
Resolution:
DeepGuard est équipé d'une fonction d'autoprotection qui empêche tout processus de mettre fin aux processus de WithSecure. DeepGuard surveille la fonction OpenProcess , qui est utilisée par le programme pour accéder aux informations du processus WithSecure avec des droits de résiliation.
Lorsque DeepGuard détecte que le programme tente d'ouvrir un processus WithSecure avec l'indicateur PROCESS_TERMINATE , il affiche un message de blocage et supprime l'indicateur, empêchant ainsi le programme de terminer le processus.
Ces alertes n'affecteront pas les fonctionnalités du programme d'accès car DeepGuard supprime uniquement les droits de résiliation, rendant ainsi l' OpenProcess appelé plus sûr pour les processus WithSecure .
Si vous voulez vous assurer qu’il ne s’agit pas d’un faux positif, vous pouvez ouvrir un formulaire de soumission d’échantillon .
Si vous êtes absolument sûr qu'il s'agit d'un faux positif et que vous ne souhaitez pas que l'alerte s'affiche, vous pouvez exclure le programme directement en utilisant son chemin + nom de fichier ou en excluant la valeur SHA1 affichée dans l'alerte.
Suivez ces étapes pour ajouter une exclusion :
Pour Business Suite (Client Security et Server Security) utilisant la stratégie Policy Manager :
- Connectez-vous à la console Policy Manager
- Sélectionnez un domaine de stratégie ou un hôte dans l'arborescence des domaines.
- Allez dans l'onglet Paramètres
- Accédez aux paramètres d'analyse en temps réel
- Faites défiler jusqu'au tableau Fichiers et applications exclus de l'analyse et activez Ne pas analyse les fichiers et applications suivants
- Cliquez sur Ajouter
- Définissez la portée sur Toutes les analyses et sélectionnez Chemin du fichier dans le menu déroulant.
- Ajoutez le chemin du fichier C:\Program Files\Exampleprogram\examplefile.exe et cliquez sur OK
- Distribuer la politique (Ctrl + D)
Pour Elements Endpoint Protection (EPP pour ordinateurs et EPP pour serveurs) à l’aide du profil de portail :- Connectez-vous au centre de sécurité Elements : https://elements.withsecure.com
- Ouvrez la section Configurations de sécurité dans le menu de gauche
- Accédez à la page Profils
- Choisissez le profil que l'appareil utilise
- Accédez à la page Paramètres généraux
- Faites défiler jusqu'à la section Exclure les dossiers et fichiers de toutes les analyses de sécurité et cliquez sur Ajouter une exclusion.
- Dans le champ Chemin, ajoutez :
- Chemin complet de l'application si vous souhaitez exclure une application spécifique
- Chemin du dossier si vous souhaitez exclure un dossier et ses sous-dossiers
- Cliquez sur Enregistrer et publier
Le SHA-1 peut également être ajouté manuellement aux règles de protection DeepGuard . Suivez les étapes ci-dessous pour ajouter manuellement une exclusion SHA-1 dans DeepGuard:- Connectez-vous au portail Elements
- Ouvrez la section Configurations de sécurité dans le menu de gauche
- Sélectionnez l'onglet Profils à gauche
- Sélectionnez le profil auquel vous souhaitez ajouter l'exclusion
- Sélectionnez Analyse en temps réel sur la gauche
- Faites défiler jusqu'aux règles de protection DeepGuard
- Cliquez sur Ajouter une règle
- Remplissez le hachage SHA1 et une note sur l'application
- Cliquez sur Enregistrer et publier
Article no: 000029044
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.