Erkennung eines Exploit unterbinden
Sie können eine Anwendung von der Exploit-Erkennung ausschließen, entweder als Reaktion auf eine Erkennung oder vor einer Erkennung.
Einleitung
Sie können Ausschlüsse für ein bestimmtes Ereignis, einen bestimmten Exploit oder alle Exploits, die mit einer Anwendung in Verbindung stehen, festlegen.
Erkennung eines erkannten Exploits unterbinden (mit der Ereignisliste)
Wenn ein Exploit für eine Anwendung erkannt wird, aber Sie sicher sind, dass die Erkennung falsch ist, können Sie weitere Erkennungen unterbinden, indem Sie Optionen in Ihrer Ereignisliste verwenden.
Dies gilt für alle Benutzer und Geräte.
Um die Erkennung eines Exploits zu unterbinden, gehen Sie wie folgt vor:
- Wechseln Sie je nach Erkennungsort der Anwendung zur Seite Computer oder Server.
- Suchen Sie nach dem Computer, auf dem die Anwendung erkannt wurde, und klicken Sie auf diesen, um dessen Details anzuzeigen.
- Suchen Sie auf dem Tab Ereignisse nach dem Erkennungsereignis und klicken Sie auf Details.
-
Suchen Sie in Ereignisdetails nach Dieses Element nicht mehr erkennen und wählen Sie eine Option aus:
- Diese Detection-ID von der Prüfung ausschließen verhindert diese Erkennung in dieser Anwendung. Es wird ein Ausschluss für die Detection-ID hinzugefügt, die dieser spezifischen Erkennung zugeordnet ist. Falls das gleiche Verhalten in Ihrer Verwaltung erneut auftritt, löst dies keine Erkennung aus. Falls das Verhalten jedoch unterschiedlich ist, z. B. unterschiedliche Pfade oder Dateien, ist die Detection-ID unterschiedlich und Sie müssen diese Erkennung separat ausschließen.
- Diese Gegenmaßnahme bei der Prüfung dieser Anwendung ausschließen. verhindert jegliche Überprüfung auf dieses Exploit in dieser Anwendung. Dies erhöht das Risiko eines Angriffs. Es kann jedoch nützlich sein, wenn bestimmte Geschäftsanwendungen viele unerwartete Erkennungen verursachen.
- Diese Applikation von der Prüfung ausschließen verhindert jegliche Überprüfung auf Exploits für diese Anwendung. Dies birgt das größte Risiko. Sie sollten diese Option daher nur als letztes Mittel verwenden.
- Klicken Sie auf Ausschließen.
Wir fügen Ihren Ausschluss zu einer Liste hinzu.
Detection-ID-Ausschlüsse werden in die globalen Ausschlüsse übernommen. Anwendungsausschlüsse werden in die Ausschlüsse für Exploit-Mitigation übernommen.
Erkennung eines erkannten Exploits unterbinden (durch Richtlinieneinstellungen)
Wenn ein Exploit für eine Anwendung erkannt wird, aber Sie sicher sind, dass die Erkennung falsch ist, können Sie weitere Erkennungen unterbinden, indem Sie Optionen in der Threat Protection-Richtlinie verwenden.
Wenn Sie sich für diese Methode entscheiden, prüfen wir weiterhin, ob andere Exploits vorhanden sind, die diese Anwendung betreffen.
Um die Erkennung des Exploits zu unterbinden, gehen Sie wie folgt vor:
- Suchen Sie in Richtlinien die Richtlinie Schutz vor Bedrohungen, die für die Computer gilt.
- Gehen Sie unter Einstellungen zu Ausschlüsse und klicken Sie auf Ausschluss hinzufügen.
- Wählen Sie unter Ausschlusstyp die Option Erkannte Exploits (Windows/Mac) aus.
- Wählen Sie den Exploit aus und klicken Sie auf Hinzufügen.
Sie können auch eine Richtlinie verwenden, um die Erkennung von Exploits für alle Anwendungen eines bestimmten Typs zu unterbinden. Gehen Sie zu der Threat-Protection-Richtlinie und deaktivieren Sie Exploit-Mitigation unter Laufzeitschutz für den Anwendungstyp.
Die Suche nach einem bestimmten Exploit für eine Anwendung unterbinden
Wenn für eine Anwendung keine Erkennung erfolgt ist, aber festgestellt wurde, dass die Anwendung von einer bestimmten Gegenmaßnahme ausgeschlossen werden muss, können Sie die Suche nach einem bestimmten Exploit vorab unterbinden.
Wenn Sie sich für diese Methode entscheiden, prüfen wir weiterhin, ob andere Exploits vorhanden sind, die diese Anwendung betreffen.
Um die Suche nach einem bestimmten Exploit zu unterbinden, gehen Sie wie folgt vor:
Suche nach allen Exploits für eine Anwendung unterbinden
Wenn eine Anwendung viele unerwartete Exploit-Erkennungen verursacht oder Leistungsprobleme auftreten, wenn die Exploit-Mitigation aktiviert ist, können Sie die Suche nach allen Exploits für die Anwendung unterbinden.
Wenn Sie sich für diese Methode entscheiden, wird die Anwendung nicht mehr auf Exploits überprüft, aber es findet weiterhin eine Überprüfung auf Ransomware und Malware statt.
Um für eine Anwendung die Suche nach allen Exploits zu unterbinden, gehen Sie wie folgt vor: