Issue:
Une alerte de sécurité DeepGuard est envoyée à la liste des événements de sécurité du portail Elements Endpoint Protection ou à la liste des alertes de la console Policy Manager.
Exemple:
Alerte de sécurité : DeepGuard a empêché une application non fiable de modifier un autre processus.
Détails : DeepGuard a empêché une application non fiable de modifier un autre processus. Chemin d'accès à l'application : C:\Program Files\exampleprogram\examplefile.exe Hachage du fichier : 2179dde55137b4a228135af0b45acc7752e13e15
Cela peut-il être un faux positif et le fichier peut-il être exclu ?
Resolution:
DeepGuard est équipé d'une fonction d'autoprotection qui empêche tout processus de mettre fin aux processus WithSecure. DeepGuard surveille la fonction OpenProcess , qui est utilisée par le programme pour accéder aux informations du processus WithSecure avec des droits de fin.
Lorsque DeepGuard détecte que le programme tente d'ouvrir un processus WithSecure avec l'indicateur PROCESS_TERMINATE , il affiche un message de blocage et supprime l'indicateur, empêchant la capacité du programme de terminer le processus.
Ces alertes n'affecteront pas les fonctionnalités du programme d'accès car DeepGuard supprime uniquement les droits de terminaison, rendant ainsi l' OpenProcess appelé plus sûr pour les processus WithSecure .
Si vous souhaitez vous assurer qu’il ne s’agit pas d’un faux positif, vous pouvez ouvrir un ticket pour soumettre un échantillon .
Si vous êtes absolument sûr qu'il s'agit d'un faux positif et que vous ne souhaitez pas que l'alerte s'affiche, vous pouvez contourner ce problème en excluant directement le programme en utilisant son chemin + nom de fichier ou en excluant la valeur SHA1 affichée dans l'alerte.
Suivez ces étapes pour ajouter une exclusion :
Pour Business Suite (Client Security et Server Security) utilisant la stratégie Policy Manager :
- Connectez-vous à la console Policy Manager
- Sélectionnez un domaine de stratégie ou un hôte dans l'arborescence des domaines
- Accédez à l'onglet Paramètres
- Accédez aux paramètres d’analyse en temps réel
- Faites défiler jusqu'au tableau Fichiers et applications exclus de l'analyse et activez Ne pas analyse les fichiers et applications suivants
- Cliquez sur Ajouter
- Définissez la portée sur Toutes les analyses et sélectionnez Chemin du fichier dans le menu déroulant
- Ajoutez le chemin d'accès au fichier C:\Program Files\Exampleprogram\examplefile.exe et cliquez sur OK
- Distribuer la politique (Ctrl + D)
Pour Elements Endpoint Protection (EPP pour ordinateurs et EPP pour serveurs) utilisant le profil de portail :- Connectez-vous au centre de sécurité Elements : https://elements.withsecure.com
- Ouvrez la section Configurations de sécurité depuis le menu de gauche
- Accéder à la page Profils
- Choisissez le profil utilisé par l'appareil
- Accédez à la page Paramètres généraux
- Faites défiler jusqu'à la section Exclure les dossiers et fichiers de toutes les analyses de sécurité et cliquez sur Ajouter une exclusion
- Dans le champ Chemin, ajoutez :
- Chemin complet de l'application si vous souhaitez exclure une application spécifique
- Chemin du dossier si vous souhaitez exclure un dossier et ses sous-dossiers
- Cliquez sur Enregistrer et publier
Le SHA-1 peut également être ajouté manuellement aux règles de protection DeepGuard . Suivez les étapes ci-dessous pour ajouter manuellement une exclusion SHA-1 dans DeepGuard:- Connectez-vous au portail Elements
- Ouvrez la section Configurations de sécurité depuis le menu de gauche
- Sélectionnez l’onglet Profils sur la gauche
- Sélectionnez le profil auquel vous souhaitez ajouter l'exclusion
- Sélectionnez Analyse en temps réel sur la gauche
- Faites défiler vers le bas jusqu'aux règles de protection DeepGuard
- Cliquez sur Ajouter une règle
- Remplissez le hachage SHA1 et une note sur l'application
- Cliquez sur Enregistrer et publier
Article no: 000029044
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.