Issue:
WithSecure Elements Endpoint Detection and Response (EDR) upptäcker en säker applikation (t.ex. en intern applikation). Hur vitlistar jag upptäckt?
Resolution:
Du kan stänga Broad Context Detection (BCD) som "Accepterat beteende" för att skapa undertryckningsregel som kan acceptera beteendet hos en användare eller en process. För att göra detta måste du följa dessa steg:
- Logga in på Elements Security Center på https://elements.withsecure.com
- Expandera kategorin HÄNDELSER i den vänstra rutan
- Välj alternativet Broad Context Detections
- Klicka på respektive Broad Context Detection för att öppna informationssidan för denna upptäckt
- Klicka på rullgardinsmenyn i det övre vänstra hörnet
- Välj Stängt från rullgardinsmenyn och välj sedan orsaken som Accepterat beteende
- Klicka på knappen Skapa regel och följ instruktionerna på skärmen
Efter detta kan du granska undertryckningsregeln genom att följa dessa steg:- Expandera kategorin Säkerhetskonfigurationer i den vänstra rutan
- Välj alternativet Automatiska åtgärder
- Välj Undertryckningsregler
Du kan hitta mer information om den här funktionen i följande communityartikel:
https://community.withsecure.com/en/kb/articles/31324-elements-edr-new-feature-accepted-behavior
Om du stöter på något problem med att skapa undertryckningsregler (som att ha fler än 5 nyckeldetekteringar i BCD), kan du stänga BCD som "Accepterat beteende" genom att följa dessa steg:- Logga in på Elements Security Center på https://elements.withsecure.com.
- Expandera kategorin HÄNDELSER i den vänstra rutan
- Välj alternativet Broad Context Detections .
- Välj det BCD-ID som kräver vitlista.
- Klicka på alternativet "Uppdatera status " längst ned på sidan.
- Välj "Stängt" från rullgardinsmenyn och välj sedan orsak som "Falskt positivt"
- Klicka på alternativet "Uppdatera" .
När du har minst en incident som är identisk med incident och det inte finns någon identisk incident där statusen är stängd som bekräftad, kommer den falska positiva hanteringen i WithSecure Elements Endpoint Detection and Response (EDR) att stänga den falska positiva automatiskt.
Detektering av breda sammanhang kan stängas som Auto falsk positiv automatiskt när de är identiska med tidigare stängda falsklarm. För att WithSecure Elements Endpoint Detection and Response ska stänga en bred upptäckt som automatisk falsk positiv måste följande kriterier uppfyllas:
- Incidenten måste vara New / Unconfirmed ,
- du måste ha stängt en identisk incident i samma organisation som False positive , och
- inga identiska incidenter i samma organisation har Confirmed .
Mer information om automatisk hantering av incidenter finns här . I händelse av att detta har slutförts flera gånger och filen fortfarande upptäcks, gör en begäran om vitlista för händelsen False Positive i Elements Security Center genom att göra följande:
- Välj Support
- Välj Begäran om godkännandelista
- Kontrollera att följande fält är korrekt ifyllda:
- Problemkategori -> Hot/skadlig programvara
- Problem Underkategori -> Falskt positivt
- Produktnamn -> Elements Endpoint Detection & Response
- Språk -> engelska
- Under Beskriv problemet i detalj , ange 3-5 exempel Broad Context Detection ID (BCD-ID), en anledning till varför detta innehåll bör vitlistas och omfattningen (enskild värd, företagsnivå, etc.)
- Fyll i resten av erforderlig ärendeinformation. Korrekt och fullständig information hjälper oss att identifiera dig och ge dig rätt servicenivå
- Klicka på Skicka för att öppna supportärendet
Article no: 000008622
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.