跳至內容
部分或全部頁面已經過機器翻譯。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=PUA-alert-resolve

解決 PUA 警示

本頁將告訴您可以採取哪些措施來解決潛在有害程序 (PUA)。

潛在不受歡迎應用程式(PUA)是指設計上並非惡意,但可能不適合企業環境的程式。例如,它們可能在組織環境中帶來隱私、安全性或使用者體驗的風險。客戶可根據其業務需求,在其環境中允許 PUA 的運作。

在您需要採取行動或需要調查可能不需要的應用程式 (PUA) 偵測時,我們會透過警示告知您。我們也會告訴您我們是否已嘗試清理 PUA 。我們會在裝置的詳細資料頁面上顯示此資訊。請參見 裝置

我們也可能產生威脅圖表。這提供了有關偵測到的 PUA 的更多資訊。請參見 威脅圖表

檢查 PUA 是否為誤判

惡意軟體偵測有時可能不正確。例如,深度學習(偵測名稱:通用機器學習潛在有害程式 (PLA)偵測利用機器學習來識別以前未曾見過的惡意軟體。儘管它非常有效,但有時也可能將合法應用程式識別爲惡意軟體。

如果偵測不正確,您可以允許應用程式或新增排除項。

如果偵測正確,則應清理應用程式。

如果您不確定應用程式是否為惡意或 PUA,您應調查警示。然後您可以根據需要授權或清理該應用程式。

調查警示

警示可能不會提供您所需的偵測到的 PUA 的所有相關資訊。如果您不確定偵測到的 PUA 是惡意的還是不需要的,請檢閱其所有資訊。

若要執行此動作,請依照以下步驟操作。

  1. 檢查是否存在威脅圖表。在 Sophos Central 中,移至威脅分析中心 > 威脅圖表

  2. 尋找與偵測到的 PUA 相關的威脅圖表。

    如果存在威脅圖表,它將顯示偵測到的 PUA 的詳細資料。它會顯示所執行的任何活動以及是否有其他可疑的檔案或程序可進行調查。

    1. 如果沒有威脅圖表,請建立一個圖表。

      限制

      Mac 電腦無法建立威脅圖。

  3. 可選:如果可以,請與使用者聯絡,瞭解感染發生時發生的情況。例如,他們是否點按了電子郵件中的連結或連接了 USB 磁碟機?

  4. 調查威脅圖表並遵循我們建議的步驟處理問題。

    有關使用威脅圖表調查威脅的說明,請參見 威脅圖表分析

  5. 完成調查後,請從以下選項中進行選擇:

    • 如果您認為偵測不正確,請允許應用程式或新增排除項。請參見 處理誤判
    • 如果您認為偵測正確,請清理應用程式。請參見 清理 PUA

  6. 解決警示。請參見 解決警示

處理誤判

如果您認為偵測不正確,您可以允許應用程式或新增排除項。

Warning

當您允許應用程式或新增排除項時,請務必小心。這樣做可能會降低對您的保護。

例如,如果您排除目錄,然後惡意軟體也從該位置執行,則不會封鎖該惡意軟體。

若要處理誤判,請執行下列動作:

如需詳細資料,請參閱以下部分。

許可應用程式{#allow_an_application}

限制

您可以在 Windows 和 Linux 裝置上使用此功能,但不能在 Mac 上使用。

如果您要允許某個應用程式,請進行以下步驟:

  1. 前往「我的環境」 > 「電腦與伺服器」。
  2. 找到發生偵測的裝置,然後檢視詳細資料。
  3. 事件 索引標籤上,找到偵測事件,然後按一下 詳細資訊
  4. 事件詳細資訊 對話框中,查看 允許該應用程式 底下。

  5. 選擇允許應用程式的方式。

    • 憑證(僅限 Windows):允許其他應用程式使用相同的憑證。我們推薦此項。
    • SHA-256(Windows、Linux):允許該版本的應用程式。但是,如果您更新了應用程式,我們可以再次偵測它。
    • 路徑 (Windows):如果應用程式安裝在該位置,則允許該應用程式。如果應用程式安裝在其他電腦的其他位置,您可以使用變數。

    • 路徑 (Linux):只要應用程式安裝在所示路徑(位置)中,就允許其運作。如果應用程式安裝在不同電腦上的不同位置,您可以編輯路徑 以及使用變數。必須使用正斜槓。

      Note

      您也可以使用以下選項在Linux上排除文件路徑掃描:

  6. 按一下 允許

有關允許應用程式的更多資訊,請參見 允許的應用程式

新增例外項目

如果您要新增排除項,建議您使用原則式排除項。您可以鎖定排除項,並使它們盡可能具體。

若要新增排除項,請依照以下步驟操作:

  1. 對於端點,請轉至 我的產品 > Endpoint > 原則 並設定排除項。

    請參見 威脅防護原則

  2. 對於伺服器,請轉至 我的產品 > Server > 原則 並設定排除項。

    請參見 伺服器威脅防護策略

授權 PUA

對於端點,您可以從 「警報」 頁面授權應用程式。

若要授權應用程序,請按以下步驟操作:

  1. 移至我的環境 > 警示
  2. 查找 PUA 警示。

  3. 按一下 授權 PUA

    Warning

    • 這將授權 PUA 在所有電腦上執行。
    • 對於 Windows 和 Linux,我們建議您根據應用程式的憑證或 SHA-256 允許該應用程式。

清理 PUA

如果您認爲偵測正確,則可以清理應用程式。您可能會發現先調查 PUA 有幫助。這有助於您瞭解有關任何相關流程或其他可疑檔案的更多資訊。

如需清理 PUA,請執行以下動作:

  1. 前往電腦。
  2. 刪除應用程式、任何關聯的程序和登錄項目。

解決警示

當您允許或移除了應用程式時,就可以解決警示。

若要解決警示,請依照下列步驟操作:

  1. 移至我的環境 > 警示
  2. 前往警示。
  3. 按一下 標示為已解決