Dejar de detectar un exploit

Puede excluir una aplicación de la detección de exploits, ya sea en respuesta a una detección o antes de cualquier detección.

Puede establecer exclusiones para un evento específico, un exploit específico o todos los exploits asociados a una aplicación.

Dejar de detectar un exploit detectado (mediante la lista de eventos)

Si se detecta un exploit en una aplicación pero tiene la seguridad de que la detección es incorrecta, puede evitar que vuelva a producirse usando las opciones disponibles en la lista de eventos.

Esto se aplicará a todos sus usuarios y ordenadores.

  1. Vaya a la página Ordenadores o Servidores, en función de dónde se haya detectado la aplicación.
  2. Localice el ordenador donde ha tenido lugar la detección y haga clic en él para ver los detalles.
  3. En la ficha Eventos, busque el evento de detección y haga clic en Detalles.
  4. En Detalles el evento, busque No volver a detectar esto y seleccione una opción:
    • Excluir este ID de detección de la comprobación. impide esta detección en esta aplicación. Añade una exclusión para el ID de detección asociado con esta detección específica. Si el mismo comportamiento se produce de nuevo en su infraestructura, esto no desencadena una detección. Sin embargo, si el comportamiento es diferente, por ejemplo, rutas o archivos diferentes, el ID de detección es distinto y, por lo tanto, requerirá una exclusión aparte.
    • Excluir esta mitigación de la comprobación de esta aplicación impide todas las comprobaciones de este exploit en esta aplicación. Esto aumenta el riesgo de un ataque real. Sin embargo, puede ser útil cuando determinadas aplicaciones empresariales generan muchas detecciones inesperadas.
    • Excluir esta aplicación de la comprobación impide todas las comprobaciones de exploits en esta aplicación. Esto conlleva el mayor riesgo y, por lo tanto, solo debe utilizarlo como último recurso.

    Pruebe a excluir el ID de detección primero, ya que es una acción más precisa. Si se vuelve a producir la misma detección, excluya el exploit. Si sigue produciéndose la misma detección, excluya la aplicación.

    "Detalles del evento" mostrando un tipo de detección StackExec en una aplicación
  5. Haga clic en Excluir.

Añadiremos su exclusión a una lista.

Las exclusiones de ID de detección se incluyen en Exclusiones globales. Las exclusiones de aplicaciones se incluyen en Exclusiones de mitigación de vulnerabilidades.

Dejar de detectar un exploit detectado (usando la configuración de políticas)

Si se detecta un exploit en una aplicación pero tiene la seguridad de que la detección es incorrecta, puede evitar que vuelva a producirse usando las opciones disponibles en la política de protección contra amenazas.

Si utiliza este método, comprobaremos si hay otros exploits que afectan esta aplicación.

  1. En Políticas, busque la política de Protección contra amenazas que se aplica a los ordenadores.
  2. En Configuración, busque Exclusiones y haga clic en Añadir exclusión.
  3. En el cuadro Tipo de exclusión, seleccione Exploits detectados (Windows/Mac).
  4. Seleccione el exploit y haga clic en Añadir.
También puede utilizar una política para dejar de detectar exploits en todas las aplicaciones de un tipo específico. Para hacerlo, vaya a la política de protección contra amenazas y desactive la mitigación de exploits (que se encuentra en Protección en tiempo de ejecución) para ese tipo de aplicación.
Nota: No se recomienda desactivar la mitigación de exploits.

Dejar de buscar un exploit específico en una aplicación

Si no se ha producido una detección para una aplicación, pero se ha identificado que la aplicación debe excluirse de una mitigación específica, puede detener de forma proactiva la comprobación de un exploit específico.

Si utiliza este método, comprobaremos si hay otros exploits que afectan esta aplicación.

  1. Vaya a Configuración global > Exclusiones globales.
  2. Haga clic en Añadir exclusión.
  3. En Tipo de exclusión, seleccione Mitigación de exploits (Windows).
  4. En la lista de aplicaciones, seleccione la aplicación que desea excluir.

    Si no aparece en la lista, haga clic en ¿La aplicación no está en la lista?. En Excluir aplicación por ruta, introduzca la ruta completa de la aplicación.

    "Añadir exclusión" mostrando una lista de aplicaciones protegidas
  5. En Mitigaciones, desactive la mitigación de la que desea excluir la aplicación.
    "Mitigaciones" mostrando una lista de mitigaciones que están activadas para la aplicación
  6. Haga clic en Añadir.
  7. Haga clic en Guardar.

Dejar de buscar cualquier exploit en una aplicación

Si una aplicación genera muchas detecciones de exploits inesperadas o sufre problemas de rendimiento cuando la mitigación de exploits está activada, puede dejar de comprobar cualquier exploit en la aplicación.

Si utiliza este método, no comprobaremos si hay otros exploits que afectan esta aplicación, pero sí verificaremos si hay programas maliciosos y comportamiento de ransomware.

  1. Vaya a Configuración global > Exclusiones globales.
  2. Haga clic en Añadir exclusión.
  3. En Tipo de exclusión, seleccione Mitigación de exploits (Windows).
  4. En la lista de aplicaciones, seleccione la aplicación que desea excluir.

    Si no aparece en la lista, haga clic en ¿La aplicación no está en la lista?. En Excluir aplicación por ruta, introduzca la ruta completa de la aplicación.

    "Añadir exclusión" que muestra una lista de aplicaciones protegidas
  5. En Mitigaciones, desactive Proteger aplicación.
    "Mitigaciones" que muestra la opción "Proteger aplicación"
  6. Haga clic en Añadir.
  7. Haga clic en Guardar.