Erkennung eines Exploit unterbinden

Sie können eine Anwendung von der Exploit-Erkennung ausschließen, entweder als Reaktion auf eine Erkennung oder vor einer Erkennung.

Sie können Ausschlüsse für ein bestimmtes Ereignis, einen bestimmten Exploit oder alle Exploits, die mit einer Anwendung in Verbindung stehen, festlegen.

Erkennung eines erkannten Exploits beenden (mithilfe der Ereignisliste)

Wenn ein Exploit in einer Anwendung erkannt wird, aber Sie sicher sind, dass die Erkennung falsch ist, können Sie weitere Erkennungen verhindern, indem Sie Optionen in Ihrer Ereignisliste verwenden.

Dies wird auf alle Ihre Benutzer und Geräte angewendet.

  1. Wechseln Sie je nach Erkennungsort der Anwendung zur Seite Computer oder Server.
  2. Suchen Sie nach dem Computer, auf dem die Anwendung erkannt wurde, und klicken Sie darauf, um die Details aufzurufen.
  3. Suchen Sie auf der Registerkarte Ereignisse nach dem Erkennungsereignis und klicken Sie auf Details.
  4. Suchen Sie in Ereignisdetails nach Dieses Element nicht mehr erkennen und wählen Sie eine Option aus:
    • Diese Detection-ID von der Prüfung ausschließen verhindert diese Erkennung in dieser Anwendung. Es wird ein Ausschluss für die Detection-ID hinzugefügt, die dieser spezifischen Erkennung zugeordnet ist. Wenn das gleiche Verhalten in Ihrer Verwaltungseinheit wieder auftritt, löst dies keine Erkennung aus. Wenn das Verhalten jedoch unterschiedlich ist, z. B. unterschiedliche Pfade oder Dateien, ist die Detection-ID unterschiedlich und erfordert daher einen separaten Ausschluss.
    • Diese Gegenmaßnahme bei der Prüfung dieser Anwendung ausschließen. verhindert jegliche Überprüfung auf diesen Exploit in dieser Anwendung. Dies erhöht das Risiko eines echten Angriffs. Es kann jedoch nützlich sein, wenn bestimmte Geschäftsanwendungen viele unerwartete Erkennungen verursachen.
    • Diese Applikation von der Prüfung ausschließen verhindert jegliche Überprüfung auf Exploits in dieser Anwendung. Dies birgt das größte Risiko und sollte daher nur als letztes Mittel genutzt werden.

    Versuchen Sie zuerst, die Detection-ID auszuschließen, da dies gezielter wirkt. Wenn die Erkennung erneut auftritt, schließen Sie den Exploit aus. Wenn die Erkennung weiter auftritt, schließen Sie die Anwendung aus.

    „Ereignisdetails“; es wird ein StackExec-Erkennungstyp für eine Anwendung angezeigt
  5. Klicken Sie auf Ausschließen.

Der Ausschluss wir zu einer Liste hinzugefügt.

Detection-ID-Ausschlüsse werden in die globalen Ausschlüsse übernommen. Anwendungsausschlüsse werden in die Ausschlüsse für Exploit-Mitigation übernommen.

Erkennung eines erkannten Exploits beenden (durch Richtlinieneinstellungen)

Wenn ein Exploit in einer Anwendung erkannt wird, aber Sie sicher sind, dass die Erkennung falsch ist, können Sie weitere Erkennungen verhindern, indem Sie Optionen in der Threat Protection-Richtlinie verwenden.

Wenn Sie sich für diese Methode entscheiden, prüfen wir weiterhin, ob weitere Exploits vorhanden sind, die diese Anwendung betreffen.

  1. Suchen Sie in Richtlinien die Richtlinie Schutz vor Bedrohungen, die für die Computer gilt.
  2. Gehen Sei unter Einstellungen zu Ausschlüsse und klicken Sie auf Ausschluss hinzufügen.
  3. Wählen Sie unter Ausschlusstyp die Option Erkannte Exploits (Windows/Mac) aus.
  4. Wählen Sie den Exploit aus und klicken Sie auf Hinzufügen.
Sie können auch eine Richtlinie verwenden, um die Erkennung von Exploits in allen Anwendung eines bestimmten Typs zu unterbinden. Gehen Sie zu der Threat Protection-Richtlinie und deaktivieren Sie Exploit-Mitigation unter Laufzeitschutz für den Anwendungstyp.
Hinweis: Wir empfehlen, Exploit-Mitigation nicht zu deaktivieren.

Die Suche nach einem bestimmten Exploit für eine Anwendung beenden

Wenn für eine Anwendung keine Erkennung erfolgt ist, aber festgestellt wurde, dass die Anwendung von einer bestimmten Gegenmaßnahme ausgeschlossen werden muss, können Sie die Suche nach einem bestimmten Exploit proaktiv beenden.

Wenn Sie sich für diese Methode entscheiden, prüfen wir weiterhin, ob weitere Exploits vorhanden sind, die diese Anwendung betreffen.

  1. Gehen Sie zu Globale Einstellungen > Globale Ausschlüsse.
  2. Klicken Sie auf Ausschluss hinzufügen.
  3. Wählen Sie unter Ausschlusstyp die Option Exploit-Abwehr (Windows) aus.
  4. Wählen Sie in der Anwendungsliste die Anwendung aus, die Sie ausschließen möchten.

    Wenn die Anwendung nicht aufgeführt ist, klicken Sie auf Anwendung nicht aufgeführt?. Geben Sie unter Anwendung nach Pfad ausschließen sofern möglich den vollständigen Pfad der Anwendung ein.

    „Ausschluss hinzufügen“ zeigt eine Liste geschützter Anwendungen an
  5. Deaktivieren Sie unter Gegenmaßnahmen die Gegenmaßnahme, von der Sie die Anwendung ausschließen möchten.
    „Gegenmaßnahme“ zeigt eine Liste der Gegenmaßnahme an, die für die Anwendung aktiviert sind
  6. Klicken Sie auf Hinzufügen.
  7. Klicken Sie auf Speichern.

Die Suche nach allen Exploits in einer Anwendung beenden

Wenn eine Anwendung viele unerwartete Exploit-Erkennungen verursacht oder Leistungsprobleme auftreten wenn die Exploit-Mitigation aktiviert ist, können Sie die Suche nach allen Exploits in der Anwendung beenden.

Wenn Sie sich für diese Methode entscheiden, wird die Anwendung nicht mehr auf Exploits überprüft, aber es findet weiterhin eine Überprüfung auf Ransomware oder Malware statt.

  1. Gehen Sie zu Globale Einstellungen > Globale Ausschlüsse.
  2. Klicken Sie auf Ausschluss hinzufügen.
  3. Wählen Sie unter Ausschlusstyp die Option Exploit-Abwehr (Windows) aus.
  4. Wählen Sie in der Anwendungsliste die Anwendung aus, die Sie ausschließen möchten.

    Wenn die Anwendung nicht aufgeführt ist, klicken Sie auf Anwendung nicht aufgeführt?. Geben Sie unter Anwendung nach Pfad ausschließen sofern möglich den vollständigen Pfad der Anwendung ein.

    „Ausschluss hinzufügen“ mit einer Liste geschützter Anwendungen
  5. Deaktivieren Sie Gegenmaßnahmen unter Anwendung schützen.
    „Gegenmaßnahmen“ mit der Option „Anwendung schützen“
  6. Klicken Sie auf Hinzufügen.
  7. Klicken Sie auf Speichern.