Issue:
WithSecure Elements Endpoint Detection and Response(EDR)は、安全なアプリケーション(社内アプリケーションなど)を検出します。検出をホワイトリストに登録するにはどうすればよいでしょうか?
Resolution:
広域コンテキスト検出(BCD)を「許容動作」として閉じることで、ユーザーまたはプロセスの行動を許容する抑制ルールを作成できます。これを行うには、以下の手順に従います。
- Elements セキュリティ センター (https://elements.withsecure.com) にログインします。
- 左ペインのイベントカテゴリを展開します
- 「広範囲コンテキスト検出」オプションを選択します
- それぞれの広範囲コンテキスト検出をクリックすると、その検出の詳細ページが開きます。
- 左上隅のドロップダウンメニューをクリックします
- ドロップダウンメニューから「クローズ」を選択し、理由として「許容される行動」を選択します。
- 「ルールを作成」ボタンをクリックし、画面の指示に従います。
その後、次の手順に従って抑制ルールを確認できます。- 左ペインのセキュリティ構成カテゴリを展開します
- 自動アクションオプションを選択する
- 抑制ルールを選択
この機能に関する詳細については、次のコミュニティ記事をご覧ください。
https://community.withsecure.com/en/kb/articles/31324-elements-edr-new-feature-accepted-behavior
抑制ルールの作成中に問題が発生した場合 (BCD に 5 つ以上のキー検出があるなど)、次の手順に従って、BCD を「誤検知」として閉じることができます。- https://elements.withsecure.com で Elements セキュリティ センターにログインします。
- 左ペインのイベントカテゴリを展開します
- 「広範なコンテキスト検出」オプションを選択します。
- ホワイトリストが必要な BCD ID を選択します。
- ページの下部にある「ステータスを更新」オプションをクリックします。
- ドロップダウンメニューから「Closed」を選択し、理由として「False positive」を選択します。
- 「更新」オプションをクリックします。
インシデントと同一のインシデントが少なくとも 1 つあり、ステータスが確認済みとしてクローズされている同一のインシデントがない場合は、 WithSecure Elements Endpoint Detection and Response (EDR) の誤検知処理によって誤検知が自動的にクローズされます。
広範囲コンテキスト検出は、以前に閉じられた誤検知と同一の場合、自動誤検知として自動的に閉じられます。WithSecure Elements Endpoint Detection and Responseが広範囲コンテキスト検出を自動誤検知として閉じるには、以下の条件を満たす必要があります。
- インシデントはNew / Unconfirmedある必要があります。
- 同じ組織でFalse positiveと同じインシデントをクローズしている必要があり、
- 同一組織内での同一事案はConfirmedれていない。
インシデントの自動処理の詳細については、 こちらをご覧ください。これを複数回実行してもファイルが検出される場合は、次の手順に従って、Elements Security Center で誤検知イベントのホワイトリスト要求を作成します。
- サポートを選択
- 許可リストへの登録リクエストを選択
- 次のフィールドが正しく入力されていることを確認します。
- 問題カテゴリ->脅威/マルウェア
- 問題のサブカテゴリ->誤検知
- 製品名-> Elements Endpoint Detection & Response
- 言語->英語
- 「問題を詳しく説明してください」で、3~5 個の Broad Context Detection ID (BCD-ID) の例、このコンテンツをホワイトリストに登録する理由、および範囲 (単一ホスト、会社レベルなど) を入力します。
- 残りの必須ケース情報をご入力ください。正確かつ完全な情報をご提供いただくことで、お客様を特定し、適切なサービスレベルをご提供することができます。
- [送信]をクリックしてサポートチケットを開きます
Article no: 000008622
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.