Risoluzione degli avvisi di PUA

Quelle che seguono sono le azioni possibili per risolvere gli avvisi di PUA.

Utilizziamo gli avvisi per comunicare quando è necessario intraprendere un'azione o indagare sul rilevamento di un'applicazione potenzialmente indesiderata (PUA). Indichiamo anche se abbiamo provato a rimuovere la PUA. Questa informazione è reperibile nella pagina dei dettagli del dispositivo. Vedere Dispositivi.

Potrebbe anche essere generato un grafico delle minacce, che fornisce maggiori informazioni sulla PUA rilevata. Vedere Grafici delle minacce.

Come verificare se la PUA è un falso positivo

A volte il rilevamento del malware può non essere accurato. Per esempio, il rilevamento basato sul deep learning (nome rilevamento: ML/PE-A) utilizza il machine learning per identificare il malware che non è mai stato osservato prima. Sebbene sia altamente efficace, a volte può identificare applicazioni legittime come malware.

Se il rilevamento non è corretto, è possibile autorizzare manualmente l'applicazione o aggiungere un'esclusione.

Se il rilevamento è corretto, si consiglia di rimuovere l'applicazione.

Se non si è sicuri se l'applicazione sia dannosa o se si tratti di una PUA, occorre indagare sull'avviso. Sarà quindi possibile autorizzare o rimuovere l'applicazione secondo necessità.

Come procedere con un falso positivo

Se si ritiene che il rilevamento non è corretto, è possibile autorizzare manualmente l'applicazione o aggiungere un'esclusione.

Avvertenza Si consiglia di prestare attenzione quando si autorizzano applicazioni o si aggiungono esclusioni, in quanto queste operazioni potrebbero diminuire il livello di protezione.

Ad esempio, se si esclude una directory e il malware viene eseguito anche da quel percorso, il malware non viene bloccato.

Per gestire un falso positivo, procedere come segue:

  • Se si desidera autorizzare un'applicazione, procedere come segue.
    1. Aprire Panoramica e cliccare su Dispositivi.
    2. Aprire la pagina Computer o Server, a seconda di dove sia stata rilevata l'applicazione.
    3. Individuare il dispositivo in cui è avvenuto il rilevamento e visualizzarne i dettagli.
    4. Nella scheda Eventi, cercare l'evento di rilevamento e cliccare su Dettagli.
    5. Nella finestra di dialogo Dettagli evento, guardare sotto Autorizza questa applicazione.
    6. Scegliere come si desidera autorizzare l'applicazione.
      • Certificato: questa è l'opzione che consigliamo. Autorizza anche altre applicazioni con lo stesso certificato.
      • SHA-256: questa opzione autorizza solo la versione corrente dell'applicazione. Tuttavia, se si aggiorna l'applicazione, è possibile che venga rilevata di nuovo.
      • Percorso: questa opzione autorizza l'applicazione se è installata in questo percorso. È possibile utilizzare variabili, se l'applicazione si trova in percorsi diversi su computer diversi.
    7. Cliccare su Consenti.

    Per ulteriori informazioni su come autorizzare le applicazioni, vedere Applicazioni autorizzate.

  • Se si desidera aggiungere un'esclusione, si consiglia di utilizzare esclusioni basate sui criteri. È possibile rendere le esclusioni mirate e fare in modo che siano estremamente specifiche. Per aggiungere un'esclusione, procedere come segue:
    1. Per gli endpoint, selezionare Endpoint Protection > Criteri e impostare un'esclusione.
    2. Per i server, selezionare Server Protection > Criteri e impostare un'esclusione.
  • Sugli endpoint è possibile autorizzare un'applicazione dalla pagina Avvisi. Per farlo, procedere come segue:
    1. Selezionare Panoramica > Avvisi.
    2. Individuare l'avviso sulla PUA.
    3. Cliccare su Autorizza PUA.
      Avvertenza In questo modo le PUA verranno autorizzate a eseguirsi su tutti i computer. Per autorizzare un'applicazione, si consiglia di utilizzarne il certificato o lo SHA-256.

È ora possibile risolvere l'avviso.

Come rimuovere una PUA

Se si ritiene che il rilevamento sia corretto, è possibile rimuovere l'applicazione.

Per farlo, procedere come segue:

  • Sugli endpoint, è possibile rimuovere una PUA dalla pagina Avvisi. Per farlo, procedere come segue:
    1. Selezionare Panoramica > Avvisi.
    2. Cliccare su Rimuovi PUA.

    Questa azione potrebbe non essere disponibile se la PUA è stata rilevata in una condivisione di rete. Ciò è dovuto al fatto che l’agente di Endpoint Protection non dispone dei diritti necessari per rimuovere file situati in quei tipi di percorso.

  • Se non fosse possibile rimuovere la PUA dalla pagina Avvisi, procedere come segue:
    1. Eliminare l'applicazione, tutti i processi e le chiavi del registro di sistema associati.

      Potrebbe essere utile svolgere indagini sull'avviso, in quanto può rivelare ulteriori informazioni su eventuali processi associati o altri file sospetti.

Come indagare su un avviso

L'avviso potrebbe non fornire tutte le informazioni necessarie su una PUA rilevata. Se non si è sicuri se una PUA rilevata sia dannosa o solo indesiderata, è necessario analizzare tutte le informazioni disponibili.

Per farlo, procedere come segue:

  1. Controllare se è presente un grafico delle minacce. In Sophos Central, aprire Panoramica e cliccare su Centro di analisi delle minacce.
  2. Cercare un grafico delle minacce associato alla PUA rilevata.

    Se è presente un grafico delle minacce, verranno visualizzati i dettagli della PUA rilevata. Saranno indicate tutte le attività che ha svolto e verrà segnalato se sono presenti altri file o processi sospetti su cui indagare.

  3. Se non esiste un grafico delle minacce, creane uno.
  4. Opzionale Se ritenuto appropriato, contattare l'utente per scoprire cosa è accaduto verso l'ora in cui si è verificata l'infezione. Ad esempio, l'utente ha cliccato su un link in un'e-mail o ha connesso un memory stick?
  5. Indagare sul grafico delle minacce e seguire i passaggi suggeriti per risolvere il problema.

    Per assistenza sul processo di indagine sulle minacce utilizzando i grafici delle minacce, vedere Analisi dei grafici delle minacce.

  6. Se si desidera autorizzare l'applicazione, seguire la procedura descritta in Come procedere con un falso positivo.
  7. Se si desidera rimuovere l'applicazione, seguire la procedura descritta in Come rimuovere una PUA.

È ora possibile risolvere l'avviso.

Come risolvere un avviso

Una volta autorizzata o rimossa l'applicazione, è possibile risolvere l'avviso. Per farlo, procedere come segue:

  1. Selezionare Panoramica > Avvisi.
  2. Selezionare l'avviso.
  3. Cliccare su Segna come risolto.