Arrêt de la détection d’un Exploit

Vous pouvez exclure une application de la détection des Exploits, soit en réponse à une détection, soit avant toute détection.

Introduction

Vous pouvez définir des exclusions pour un événement spécifique, un Exploit spécifique ou tous les Exploits associés à une application.

Arrêter la détection d’un Exploit détecté (à l’aide de la liste d’événements)

Si un Exploit est détecté sur une application et que vous êtes sûr que la détection est incorrecte, vous pouvez empêcher que ceci ne se reproduise à l’aide des options disponibles dans votre liste d’événements.

Ceci s’applique à tous vos utilisateurs et ordinateurs.

Pour arrêter la détection d’un Exploit, procédez comme suit :

  1. Allez sur Ordinateurs ou Serveurs selon l’emplacement dans lequel l’application a été détectée.
  2. Recherchez l’ordinateur sur lequel la détection a eu lieu et cliquez dessus pour voir les informations le concernant.
  3. Sur l’onglet Événements, recherchez l’événement de détection et cliquez sur Informations.
  4. Dans Informations sur l’événement, recherchez Ne plus détecter et sélectionnez une option :
    • L’option Exclure cet identifiant de détection de la vérification. empêche la détection sur cette application. Une exclusion est ajoutée pour l’ID de détection associé à cette détection spécifique. Si le même comportement se reproduit sur votre sous-parc, il ne sera pas détecté. En revanche, si le comportement est différent, par exemple s’il s’applique à des chemins ou des fichiers différents, il fera l’objet d’une ID de détection différente et nécessitera une exclusion distincte.
    • L’option Exclure cette prévention de la vérification de cette application empêche toute recherche de cet Exploit sur cette application. Ceci augmente le risque d’attaque. Cependant, elle peut être utile lorsque des applications métier spécifiques génèrent de nombreuses détections inattendues.
    • L’option Exclure cette application de la vérification empêche toute recherche d’Exploits sur cette application. Ceci est très dangereux. Veuillez donc l’utiliser en dernier recours.
    1. Essayez d’exclure d’abord l’identifiant de détection pour plus de précision. Si la même détection se reproduit, veuillez exclure l’Exploit. Si la même détection continue à se produire, veuillez exclure l’application.
      « Détails de l'événement » montrant un type de détection StackExec sur une application
  5. Cliquez sur Exclure.

Nous allons ajouter votre exclusion à une liste.

Les exclusions de l’identifiant de détection vont dans les Exclusions générales. Les exclusions d’application vont dans Exclusions de la prévention des Exploits.

Arrêter la détection d’un Exploit qui a été détecté (avec les paramètres de stratégie)

Si un Exploit est détecté sur une application et que vous êtes sûr que la détection est incorrecte, vous pouvez empêcher que ceci ne se reproduise à l’aide des options disponibles dans la stratégie de protection contre les menaces.

Si vous utilisez cette méthode, nous continuerons à rechercher d’autres Exploits qui affectent cette application.

Pour arrêter la détection d’un Exploit, procédez comme suit :

  1. Dans Stratégies, recherchez la stratégie de Protection contre les menaces qui s’applique aux ordinateurs.
  2. Sous Paramètres, recherchez Exclusions et cliquez sur Ajouter une exclusion.
  3. Dans le champ Type d’exclusion, sélectionnez Exploits détectés (Windows/Mac).
  4. Sélectionnez l’Exploit et cliquez sur Ajouter.

Vous pouvez également utiliser une stratégie pour arrêter la détection des Exploits sur toutes les applications d’un certain type. Dans la stratégie de protection contre les menaces, désactivez la prévention des Exploits (sous Protection à l’exécution (runtime)) pour le type d’application.

Remarque : Nous déconseillons la désactivation de la prévention des Exploits.

Arrêter la recherche d’un Exploit spécifique sur une application

Si aucune détection n’a été effectuée pour une application mais qu’il a été déterminé que l’application doit être exclue d’une prévention spécifique, vous pouvez arrêter de rechercher de manière proactive un exploit spécifique.

Si vous utilisez cette méthode, nous continuerons à rechercher d’autres Exploits qui affectent cette application.

Pour arrêter la recherche d’un Exploit spécifique, procédez comme suit :

  1. Allez dans Paramètres généraux > Exclusions générales.
  2. Cliquez sur Ajouter une exclusion.
  3. Sous Type d’exclusion, sélectionnez Prévention des Exploits (Windows).
  4. Dans la liste des applications, sélectionnez l’application à exclure.
    1. Si elle ne figure pas dans la liste, cliquez sur L’application n’est pas dans la liste ?. Sous Exclure l’application par chemin, saisissez le chemin complet de l’application.
      « Ajouter une exclusion » affichant une liste d’applications protégées
  5. Sous Préventions, désactivez la prévention à partir de laquelle vous souhaitez exclure l’application.
    « Préventions » affichant une liste des préventions activées pour l’application
  6. Cliquez sur Ajouter.
  7. Cliquez sur Enregistrer.

Arrêter la recherche de tous les exploits sur une application

Si une application génère de nombreuses détections d’Exploit inattendues ou rencontre des problèmes de performances lorsque la fonction de prévention des Exploits est activée, vous pouvez arrêter de rechercher toutes les Exploits sur l’application.

Si vous utilisez cette méthode, nous ne vérifierons pas la présence d’Exploits dans l’application mais nous continuerons à vérifier tout signe de comportement de ransomware et la présence de malwares.

Pour arrêter la recherche de tous les Exploits sur une application, procédez comme suit :

  1. Allez dans Paramètres généraux > Exclusions générales.
  2. Cliquez sur Ajouter une exclusion.
  3. Sous Type d’exclusion, sélectionnez Prévention des Exploits (Windows).
  4. Dans la liste des applications, sélectionnez l’application à exclure.
    1. Si elle ne figure pas dans la liste, cliquez sur L’application n’est pas dans la liste ?.
    2. Sous Exclure l’application par chemin, saisissez le chemin complet de l’application.
      « Ajouter une exclusion » affichant une liste d’applications protégées
  5. Sous Préventions, désactivez Protéger l’application.
    « Préventions » affichant l’option « Protéger l’application »
  6. Cliquez sur Ajouter.
  7. Cliquez sur Enregistrer.