Risoluzione degli avvisi di PUA

Quelle che seguono sono le azioni possibili per risolvere gli avvisi di PUA.

Utilizziamo gli avvisi per comunicare quando è necessario intraprendere un'azione o indagare sul rilevamento di un'applicazione potenzialmente indesiderata (PUA). Indichiamo anche se abbiamo provato a rimuovere la PUA. Questa informazione è reperibile nella pagina dei dettagli del dispositivo. Vedere Dispositivi.

Potrebbe anche essere generato un caso di minaccia, che fornisce maggiori informazioni sulla PUA rilevata. Vedere Casi di minacce.

Come verificare se la PUA è un falso positivo

A volte il rilevamento del malware può non essere accurato. Per esempio, il rilevamento basato sul deep learning (nome rilevamento: ML/PE-A) utilizza il machine learning per identificare il malware che non è mai stato osservato prima. Sebbene sia altamente efficace, a volte può identificare applicazioni legittime come malware.

Se il rilevamento non è corretto, è possibile autorizzare manualmente l'applicazione o aggiungere un'esclusione.

Se il rilevamento è corretto, si consiglia di rimuovere l'applicazione.

Se non si è sicuri se l'applicazione sia dannosa o se si tratti di una PUA, occorre indagare sull'avviso. Sarà quindi possibile autorizzare o rimuovere l'applicazione secondo necessità.

Come procedere con un falso positivo

Se si ritiene che il rilevamento non è corretto, è possibile autorizzare manualmente l'applicazione o aggiungere un'esclusione.

Avvertenza Si consiglia di prestare attenzione quando si autorizzano applicazioni o si aggiungono esclusioni, in quanto queste operazioni potrebbero diminuire il livello di protezione.

Ad esempio, se si esclude una directory e il malware viene eseguito anche da quel percorso, il malware non viene bloccato.

Per gestire un falso positivo, procedere come segue:

  • Se si desidera autorizzare un'applicazione, procedere come segue.
    1. Aprire Panoramica e cliccare su Dispositivi.
    2. Aprire la pagina Computer o Server, a seconda di dove sia stata rilevata l'applicazione.
    3. Individuare il dispositivo in cui è avvenuto il rilevamento e visualizzarne i dettagli.
    4. Nella scheda Eventi, cercare l'evento di rilevamento e cliccare su Dettagli.
    5. Nella finestra di dialogo Dettagli evento, guardare sotto Autorizza questa applicazione.
    6. Scegliere come si desidera autorizzare l'applicazione.
      • Certificato: questa è l'opzione che consigliamo. Autorizza anche altre applicazioni con lo stesso certificato.
      • SHA-256: questa opzione autorizza solo la versione corrente dell'applicazione. Tuttavia, se si aggiorna l'applicazione, è possibile che venga rilevata di nuovo.
      • Percorso: questa opzione autorizza l'applicazione se è installata in questo percorso. È possibile utilizzare variabili, se l'applicazione si trova in percorsi diversi su computer diversi.
    7. Cliccare su Consenti.

    Per ulteriori informazioni su come autorizzare le applicazioni, vedere Applicazioni autorizzate.

  • Se si desidera aggiungere un'esclusione, si consiglia di utilizzare esclusioni basate sui criteri. È possibile rendere le esclusioni mirate e fare in modo che siano estremamente specifiche. Per aggiungere un'esclusione, procedere come segue:
    1. Per gli endpoint, selezionare Endpoint Protection > Criteri e impostare un'esclusione.
    2. Per i server, selezionare Server Protection > Criteri e impostare un'esclusione.
  • Sugli endpoint è possibile autorizzare un'applicazione dalla pagina Avvisi. Per farlo, procedere come segue:
    1. Selezionare Panoramica > Avvisi.
    2. Individuare l'avviso sulla PUA.
    3. Cliccare su Autorizza PUA.
      Avvertenza In questo modo le PUA verranno autorizzate a eseguirsi su tutti i computer. Per autorizzare un'applicazione, si consiglia di utilizzarne il certificato o lo SHA-256.

È ora possibile risolvere l'avviso.

Come rimuovere una PUA

Se si ritiene che il rilevamento sia corretto, è possibile rimuovere l'applicazione.

Per farlo, procedere come segue:

  • Sugli endpoint, è possibile rimuovere una PUA dalla pagina Avvisi. Per farlo, procedere come segue:
    1. Selezionare Panoramica > Avvisi.
    2. Cliccare su Rimuovi PUA.

    Questa azione potrebbe non essere disponibile se la PUA è stata rilevata in una condivisione di rete. Ciò è dovuto al fatto che l’agente di Endpoint Protection non dispone dei diritti necessari per rimuovere file situati in quei tipi di percorso.

  • Se non fosse possibile rimuovere la PUA dalla pagina Avvisi, procedere come segue:
    1. Eliminare l'applicazione, tutti i processi e le chiavi del registro di sistema associati.

      Potrebbe essere utile svolgere indagini sull'avviso, in quanto può rivelare ulteriori informazioni su eventuali processi associati o altri file sospetti.

Come indagare su un avviso

L'avviso potrebbe non fornire tutte le informazioni necessarie su una PUA rilevata. Se non si è sicuri se una PUA rilevata sia dannosa o solo indesiderata, è necessario analizzare tutte le informazioni disponibili.

Per farlo, procedere come segue:

  1. Controllare se è presente un caso di minaccia. In Sophos Central, aprire Panoramica e cliccare su Centro di analisi delle minacce.
  2. Cercare un caso di minaccia associato alla PUA rilevata.

    Se è presente un caso di minaccia, verranno visualizzati i dettagli della PUA rilevata. Saranno indicate tutte le attività che ha svolto e verrà segnalato se sono presenti altri file o processi sospetti su cui indagare.

  3. Se non esiste un caso di minaccia, creane uno.
  4. Opzionale Se ritenuto appropriato, contattare l'utente per scoprire cosa è accaduto verso l'ora in cui si è verificata l'infezione. Ad esempio, l'utente ha cliccato su un link in un'e-mail o ha connesso un memory stick?
  5. Indagare sul caso di minaccia e seguire i passaggi suggeriti per risolvere il problema.

    Per assistenza sul processo di indagine sulle minacce utilizzando i casi di minacce, vedere Pagina di analisi dei Casi di minacce.

  6. Se si desidera autorizzare l'applicazione, seguire la procedura descritta in Come procedere con un falso positivo.
  7. Se si desidera rimuovere l'applicazione, seguire la procedura descritta in Come rimuovere una PUA.

È ora possibile risolvere l'avviso.

Come risolvere un avviso

Una volta autorizzata o rimossa l'applicazione, è possibile risolvere l'avviso. Per farlo, procedere come segue:

  1. Selezionare Panoramica > Avvisi.
  2. Selezionare l'avviso.
  3. Cliccare su Segna come risolto.