Issue:
WithSecure Elements のエンドポイント検出および応答 (EDR) は、安全なアプリケーション (社内アプリケーションなど) を検出します。検出をホワイトリストに登録するにはどうすればよいでしょうか?
Resolution:
広範囲コンテキスト検出 (BCD) を「受け入れられる動作」として閉じて、ユーザーまたはプロセスの動作を受け入れることができる抑制ルールを作成できます。これを行うには、次の手順に従う必要があります。
- https://elements.withsecure.com で Elements セキュリティ センターにログインします。
- 左ペインのイベントカテゴリを展開します
- 広範囲コンテキスト検出オプションを選択する
- それぞれの広範囲コンテキスト検出をクリックすると、この検出の詳細ページが開きます。
- 左上のドロップダウンメニューをクリックします
- ドロップダウンメニューから「クローズ」を選択し、理由として「許容される行動」を選択します。
- 「ルールの作成」ボタンをクリックし、画面の指示に従います。
その後、次の手順に従って抑制ルールを確認できます。- 左ペインのセキュリティ構成カテゴリを展開します
- 自動アクションオプションを選択する
- 抑制ルールを選択
この機能に関する詳細については、次のコミュニティ記事をご覧ください。
https://community.withsecure.com/en/kb/articles/31324-elements-edr-new-feature-accepted-behavior
抑制ルールの作成中に問題が発生した場合 (BCD に 5 つ以上のキー検出があるなど)、次の手順に従って、BCD を「許容される動作」として閉じることができます。- https://elements.withsecure.com で Elements セキュリティ センターにログインします。
- 左ペインのイベントカテゴリを展開します
- 「広範なコンテキスト検出」オプションを選択します。
- ホワイトリスト登録が必要な BCD ID を選択します。
- ページの下部にある「ステータスの更新」オプションをクリックします。
- ドロップダウンメニューから「クローズ」を選択し、理由として「誤検知」を選択します。
- 「更新」オプションをクリックします。
インシデントと同一のインシデントが少なくとも 1 つあり、ステータスが確認済みとしてクローズされている同一のインシデントがない場合は、 WithSecure Elements Endpoint Detection and Response (EDR) の誤検知処理によって誤検知が自動的にクローズされます。
広範なコンテキスト検出は、以前に閉じられた誤検知と同一である場合、自動誤検知として自動的に閉じられることがあります。WithSecure Elements Endpoint Detection and Responseが広範なコンテキスト検出を自動誤検知として閉じるには、次の条件を満たす必要があります。
- インシデントはNew / Unconfirmedである必要があります。
- 同じ組織でFalse positiveと同じインシデントを終了している必要があり、
- 同一組織内での同一事件はConfirmedれていない。
インシデントの自動処理の詳細については、 こちらをご覧ください。これを複数回実行してもファイルが引き続き検出される場合は、次の手順に従って、Elements Security Center で誤検知イベントのホワイトリスト要求を作成します。
- サポートを選択
- 許可リストへの登録リクエストを選択
- 次のフィールドが正しく入力されていることを確認します。
- 問題カテゴリ->脅威/マルウェア
- 問題のサブカテゴリ->誤検知
- 製品名-> Elements エンドポイント検出と応答
- 言語->英語
- 「問題を詳しく説明してください」の下に、3~5 個の Broad Context Detection ID (BCD-ID) の例、このコンテンツをホワイトリストに登録する理由、および範囲 (単一ホスト、会社レベルなど) を入力します。
- 残りの必要なケース情報を入力してください。正確で完全な情報は、お客様を特定し、適切なサービスレベルを提供するのに役立ちます。
- [送信] をクリックしてサポートチケットを開きます
Article no: 000008622
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.