Aller au contenu

Exclusions générales

Vous pouvez exclure des fichiers, des sites Web et des applications du contrôle à la recherche de menaces comme indiqué ci-dessous. Vous pouvez également exclure avec un Identifiant de détection.

Nous continuerons à vérifier toute présence de failles d’exploitation dans les éléments exclus.

Remarque

Ces exclusions s’appliqueront à tous vos utilisateurs (et à leurs appareils) et aux serveurs. Si vous voulez qu’elles s’appliquent uniquement à un certain nombre d’utilisateurs ou de serveurs, veuillez plutôt utiliser les exclusions dans les stratégies Sophos Central Admin.

Avertissement

Procédez avec prudence avant d’ajouter des exclusions car cette opération affaiblit votre niveau de protection.

Les sous-parcs ne pourront rien ajouter dans la liste Exclusions générales depuis Paramètres généraux. Ils peuvent ajouter des exclusions générales depuis la liste des événements. Celles-ci ne sont pas ajoutées à la liste des exclusions générales que vous pouvez afficher et modifier dans Sophos Central Enterprise.

Les exclusions générales déployées depuis Sophos Central Enterprise sont fusionnées avec la liste Sophos Central Admin.

  1. Dans Paramètres généraux, cliquez sur Exclusions générales.
  2. Cliquez sur Ajouter une exclusion (dans le coin supérieur droit de la page). La boîte de dialogue Ajouter une exclusion apparaît.
  3. Dans la liste déroulante Type d’exclusion, sélectionnez un type d’élément à exclure (fichier ou dossier, site Web ou application potentiellement indésirable).
  4. Indiquez un ou plusieurs éléments à exclure. Les règles suivantes s’appliquent :

    • Fichier ou dossier (Mac/Linux) : Vous pouvez exclure un dossier ou un fichier. Vous pouvez utiliser les caractères de remplacement ? et *. Exemples : /Volumes/excluded (Mac)``/mnt/hgfs/excluded (Linux)
    • Fichier ou dossier (Sophos Security VM) : Sur les machines virtuelles clientes Windows protégées par une machine virtuelle de sécurité Sophos, vous pouvez exclure le chemin complet vers un lecteur, un dossier ou un fichier. Vous pouvez uniquement utiliser les caractères de remplacement * et ? pour les noms de fichier.
    • Processus (Windows) : Vous pouvez exclure tous les processus exécutés à partir d’une application. Cette opération exclut également les fichiers que le processus utilise (uniquement lorsque ce processus y accède). Si possible, saisissez le chemin complet vers l’application, et pas seulement le nom du processus affiché dans le Gestionnaire des tâches. Exemple : %PROGRAMFILES%\Microsoft Office\Office 14\Outlook.exe. Vous pouvez utiliser les caractères de remplacement et les variables.

      Remarque

      Retrouvez plus de renseignements sur tous les processus ou autres éléments que vous avez besoin d’exclure pour une application dans le documentation de l’éditeur de l’application.

    • Site Web : Les sites Web peuvent être indiqués par adresse IP, par plage d’adresses IP (« notation CIDR » ou Classless Inter-Domain Routing) ou par domaine. Exemples :

      • Adresse IP : 192.168.0.1
      • Plage d’adresses IP : 192.168.0.0/24
      • Le suffixe /24 correspond au nombre de bits dans le préfixe commun à toutes les adresses IP de cette plage. Ici, /24 correspond au masque réseau 11111111.11111111.11111111.00000000. Dans notre exemple, la plage inclut toutes les adresses IP commençant par 192.168.0.
      • Domaine : google.fr
    • Application potentiellement indésirable : Vous pouvez exclure ici les applications généralement détectées comme spyware. Indiquez l’exclusion en utilisant le même nom que celui sous lequel l’application a été détectée par le système.

    • Isolement de l’appareil (Windows) : Vous pouvez autoriser les appareils isolés à avoir des communications limitées avec les autres ordinateurs. Choisissez si les appareils isolés utiliseront les communications sortantes ou entrantes ou les deux. Vous pouvez ensuite limiter les communications.
  5. Pour les exclusions de Fichier ou dossier, dans la liste déroulante Activer pour, indiquez si l’exclusion s’applique au contrôle en temps réel, au contrôle planifié ou aux deux.

  6. Cliquez sur Ajouter ou sur Ajouter une autre. L’exclusion est ajoutée dans la liste des exclusions.

Identifiant de détection

Vous pouvez copier un Identifiant de détection à partir d’un événement de détection dans Sophos Central Admin. Vous pouvez ensuite créer une exclusion dans Sophos Central Enterprise qui s’applique à vos sous-parcs.

L’ajout d’une exclusion empêche cette détection sur cette application. Une exclusion est ajoutée pour l’ID de détection associé à cette détection spécifique. Si le même comportement se reproduit sur vos sous-parcs, il ne sera pas détecté. En revanche, si le comportement est différent, par exemple s’il s’applique à des chemins ou des fichiers différents, il fera l’objet d’une ID de détection différente et nécessitera une exclusion distincte.

Pour créer une exclusion, procédez de la manière suivante :

  1. Dans Sophos Central Admin, allez sur Vue générale > Appareils > Ordinateurs et cliquez sur l’ordinateur pour lequel vous souhaitez afficher les détails.
  2. Cliquez sur Événements pour afficher les événements détectés sur l’ordinateur.
  3. Copiez l’Identifiant de détection de l’événement de détection que vous souhaitez exclure.
  4. Dans Sophos Central Enterprise, allez dans Paramètres généraux.
  5. Cliquez sur Exclusions générales.
  6. Cliquez sur Ajouter une exclusion (dans le coin supérieur droit de la page).

    La boîte de dialogue Ajouter une exclusion apparaît.

  7. Dans la liste déroulante Type d’exclusion, sélectionnez Identifiant de détection.

  8. Collez l’Identifiant de détection que vous avez copié dans Sophos Central Admin.
  9. Cliquez sur Ajouter ou sur Ajouter une autre.

    L’exclusion est ajoutée dans la liste des exclusions.