Erkennung eines Exploit unterbinden

Sie können eine Anwendung von der Exploit-Erkennung ausschließen, entweder als Reaktion auf eine Erkennung oder vor einer Erkennung.

Einleitung

Sie können Ausschlüsse für ein bestimmtes Ereignis, einen bestimmten Exploit oder alle Exploits, die mit einer Anwendung in Verbindung stehen, festlegen.

Erkennung eines erkannten Exploits unterbinden (mit der Ereignisliste)

Wenn ein Exploit für eine Anwendung erkannt wird, aber Sie sicher sind, dass die Erkennung falsch ist, können Sie weitere Erkennungen unterbinden, indem Sie Optionen in Ihrer Ereignisliste verwenden.

Dies gilt für alle Benutzer und Geräte.

Um die Erkennung eines Exploits zu unterbinden, gehen Sie wie folgt vor:

  1. Wechseln Sie je nach Erkennungsort der Anwendung zur Seite Computer oder Server.
  2. Suchen Sie nach dem Computer, auf dem die Anwendung erkannt wurde, und klicken Sie auf diesen, um dessen Details anzuzeigen.
  3. Suchen Sie auf dem Tab Ereignisse nach dem Erkennungsereignis und klicken Sie auf Details.
  4. Suchen Sie in Ereignisdetails nach Dieses Element nicht mehr erkennen und wählen Sie eine Option aus:
    • Diese Detection-ID von der Prüfung ausschließen verhindert diese Erkennung in dieser Anwendung. Es wird ein Ausschluss für die Detection-ID hinzugefügt, die dieser spezifischen Erkennung zugeordnet ist. Falls das gleiche Verhalten in Ihrer Verwaltung erneut auftritt, löst dies keine Erkennung aus. Falls das Verhalten jedoch unterschiedlich ist, z. B. unterschiedliche Pfade oder Dateien, ist die Detection-ID unterschiedlich und Sie müssen diese Erkennung separat ausschließen.
    • Diese Gegenmaßnahme bei der Prüfung dieser Anwendung ausschließen. verhindert jegliche Überprüfung auf dieses Exploit in dieser Anwendung. Dies erhöht das Risiko eines Angriffs. Es kann jedoch nützlich sein, wenn bestimmte Geschäftsanwendungen viele unerwartete Erkennungen verursachen.
    • Diese Applikation von der Prüfung ausschließen verhindert jegliche Überprüfung auf Exploits für diese Anwendung. Dies birgt das größte Risiko. Sie sollten diese Option daher nur als letztes Mittel verwenden.
    1. Versuchen Sie zuerst, die Detection-ID auszuschließen, da dies gezielter wirkt. Wenn die Erkennung erneut auftritt, schließen Sie den Exploit aus. Wenn die Erkennung weiter auftritt, schließen Sie die Anwendung aus.
      „Ereignisdetails“ mit einer Erkennung vom Typ StackExec zu einer Anwendung
  5. Klicken Sie auf Ausschließen.

Wir fügen Ihren Ausschluss zu einer Liste hinzu.

Detection-ID-Ausschlüsse werden in die globalen Ausschlüsse übernommen. Anwendungsausschlüsse werden in die Ausschlüsse für Exploit-Mitigation übernommen.

Erkennung eines erkannten Exploits unterbinden (durch Richtlinieneinstellungen)

Wenn ein Exploit für eine Anwendung erkannt wird, aber Sie sicher sind, dass die Erkennung falsch ist, können Sie weitere Erkennungen unterbinden, indem Sie Optionen in der Threat Protection-Richtlinie verwenden.

Wenn Sie sich für diese Methode entscheiden, prüfen wir weiterhin, ob andere Exploits vorhanden sind, die diese Anwendung betreffen.

Um die Erkennung des Exploits zu unterbinden, gehen Sie wie folgt vor:

  1. Suchen Sie in Richtlinien die Richtlinie Schutz vor Bedrohungen, die für die Computer gilt.
  2. Gehen Sie unter Einstellungen zu Ausschlüsse und klicken Sie auf Ausschluss hinzufügen.
  3. Wählen Sie unter Ausschlusstyp die Option Erkannte Exploits (Windows/Mac) aus.
  4. Wählen Sie den Exploit aus und klicken Sie auf Hinzufügen.

Sie können auch eine Richtlinie verwenden, um die Erkennung von Exploits für alle Anwendungen eines bestimmten Typs zu unterbinden. Gehen Sie zu der Threat-Protection-Richtlinie und deaktivieren Sie Exploit-Mitigation unter Laufzeitschutz für den Anwendungstyp.

Anmerkung Wir empfehlen, Exploit-Mitigation nicht zu deaktivieren.

Die Suche nach einem bestimmten Exploit für eine Anwendung unterbinden

Wenn für eine Anwendung keine Erkennung erfolgt ist, aber festgestellt wurde, dass die Anwendung von einer bestimmten Gegenmaßnahme ausgeschlossen werden muss, können Sie die Suche nach einem bestimmten Exploit vorab unterbinden.

Wenn Sie sich für diese Methode entscheiden, prüfen wir weiterhin, ob andere Exploits vorhanden sind, die diese Anwendung betreffen.

Um die Suche nach einem bestimmten Exploit zu unterbinden, gehen Sie wie folgt vor:

  1. Gehen Sie zu Globale Einstellungen > Globale Ausschlüsse.
  2. Klicken Sie auf Ausschluss hinzufügen.
  3. Wählen Sie unter Ausschlusstyp die Option Exploit-Abwehr (Windows) aus.
  4. Wählen Sie in der Anwendungsliste die Anwendung aus, die Sie ausschließen möchten.
    1. Wenn die Anwendung nicht aufgeführt ist, klicken Sie auf Anwendung nicht aufgeführt?. Geben Sie unter Anwendung nach Pfad ausschließen, sofern möglich, den vollständigen Pfad der Anwendung ein.
      „Ausnahme hinzufügen“ zeigt eine Liste geschützter Anwendungen an
  5. Deaktivieren Sie unter Gegenmaßnahmen die Gegenmaßnahme, von der Sie die Anwendung ausschließen möchten.
    „Gegenmaßnahme“ zeigt eine Liste der Gegenmaßnahme an, die für die Anwendung aktiviert sind
  6. Klicken Sie auf Hinzufügen.
  7. Klicken Sie auf Speichern.

Suche nach allen Exploits für eine Anwendung unterbinden

Wenn eine Anwendung viele unerwartete Exploit-Erkennungen verursacht oder Leistungsprobleme auftreten, wenn die Exploit-Mitigation aktiviert ist, können Sie die Suche nach allen Exploits für die Anwendung unterbinden.

Wenn Sie sich für diese Methode entscheiden, wird die Anwendung nicht mehr auf Exploits überprüft, aber es findet weiterhin eine Überprüfung auf Ransomware und Malware statt.

Um für eine Anwendung die Suche nach allen Exploits zu unterbinden, gehen Sie wie folgt vor:

  1. Gehen Sie zu Globale Einstellungen > Globale Ausschlüsse.
  2. Klicken Sie auf Ausschluss hinzufügen.
  3. Wählen Sie unter Ausschlusstyp die Option Exploit-Abwehr (Windows) aus.
  4. Wählen Sie in der Anwendungsliste die Anwendung aus, die Sie ausschließen möchten.
    1. Wenn die Anwendung nicht aufgeführt ist, klicken Sie auf Anwendung nicht aufgeführt?.
    2. Geben Sie unter Anwendung nach Pfad ausschließen, sofern möglich, den vollständigen Pfad der Anwendung ein.
      „Ausnahme hinzufügen“ zeigt eine Liste geschützter Anwendungen an
  5. Deaktivieren Sie unter Gegenmaßnahmen die Option Anwendung schützen.
    „Gegenmaßnahmen“ zeigt die Option „Anwendung schützen“ an
  6. Klicken Sie auf Hinzufügen.
  7. Klicken Sie auf Speichern.