Exclusions générales

Vous pouvez exclure des fichiers, des sites Web et des applications du contrôle à la recherche de menaces comme indiqué ci-dessous.

Nous continuerons à vérifier toute présence de failles d’exploitation dans les éléments exclus.

Remarque : Ces exclusions s’appliqueront à tous vos utilisateurs (et à leurs appareils) et aux serveurs. Si vous voulez qu’elles s’appliquent uniquement à un certain nombre d’utilisateurs ou de serveurs, veuillez plutôt utiliser les exclusions dans les stratégies Sophos Central Admin.

Les administrateurs Enterprise peuvent déployer des exclusions générales depuis Sophos Central Enterprise. Elles sont ajoutées à la liste Exclusions générales dans Sophos Central Admin.

Les administrateurs des sous-parcs :

  • Ne pourront pas ajouter d’exclusions directement à la liste dans Sophos Central Admin.
  • Seront toujours en mesure d’ajouter des exclusions depuis la liste des événements. Ces photos ne sont pas ajoutées dans la liste Exclusions générales dans Sophos Central Enterprise.
  1. Dans Paramètres généraux, cliquez sur Exclusions générales.
  2. Cliquez sur Ajouter une exclusion (dans le coin supérieur droit de la page).
    La boîte de dialogue Ajouter une exclusion apparaît.
  3. Dans la liste déroulante Type d’exclusion, sélectionnez un type d’élément à exclure (fichier ou dossier, site Web ou application potentiellement indésirable).
  4. Indiquez un ou plusieurs éléments à exclure. Les règles suivantes s’appliquent :
    • Fichier ou dossier (Mac/Linux). Vous pouvez exclure un dossier ou un fichier. Vous pouvez utiliser les caractères de remplacement ? et *. Exemples : /Volumes/excluded (Mac)/mnt/hgfs/excluded (Linux)
    • Fichier ou dossier (Sophos Security VM). Sur les machines virtuelles clientes Windows protégées par une machine virtuelle de sécurité Sophos, vous pouvez exclure le chemin complet vers un lecteur, un dossier ou un fichier. Vous pouvez uniquement utiliser les caractères de remplacement * et ? pour les noms de fichier.
    • Processus (Windows). Vous pouvez exclure tous les processus exécutés à partir d’une application. Cette opération exclut également les fichiers que le processus utilise (uniquement lorsque ce processus y accède). Si possible, saisissez le chemin complet vers l’application, et pas seulement le nom du processus affiché dans le Gestionnaire des tâches. Exemple : %PROGRAMFILES%\Microsoft Office\Office 14\Outlook.exe. Vous pouvez utiliser les caractères de remplacement et les variables.
      Remarque : Retrouvez plus de renseignements sur tous les processus ou autres éléments que vous avez besoin d’exclure pour une application dans le documentation de l’éditeur de l’application.
    • Site Web. Les sites Web peuvent être indiqués par adresse IP, par plage d’adresses IP (« notation CIDR » ou Classless Inter-Domain Routing) ou par domaine. Exemples :
      • Adresse IP : 192.168.0.1
      • Plage d’adresses IP : 192.168.0.0/24
      • Le suffixe /24 correspond au nombre de bits dans le préfixe commun à toutes les adresses IP de cette plage. Ici, /24 correspond au masque réseau 11111111.11111111.11111111.00000000. Dans notre exemple, la plage inclut toutes les adresses IP commençant par 192.168.0.
      • Domaine : google.fr
    • Application potentiellement indésirable. Vous pouvez exclure ici les applications généralement détectées comme spyware. Indiquez l’exclusion en utilisant le même nom que celui sous lequel l’application a été détectée par le système.
  5. Pour les exclusions de Fichier ou dossier, dans la liste déroulante Activer pour, indiquez si l’exclusion s’applique au contrôle en temps réel, au contrôle planifié ou aux deux.
  6. Cliquez sur Ajouter ou sur Ajouter une autre. L'exclusion est ajoutée dans la liste des exclusions.

Arrêter la détection d’un Exploit qui a été détecté

Si un Exploit est détecté sur une application et que vous êtes sûr que la détection est incorrecte, vous pouvez empêcher que ceci ne se reproduise sur l’ensemble de vos sous-parcs.

Ceci s’applique à tous vos utilisateurs et ordinateurs.

Pour arrêter la détection d’un Exploit, procédez comme suit :

  1. Dans Sophos Central Admin, allez sur Ordinateurs ou sur Serveurs selon l’emplacement dans lequel l’application a été détectée.
  2. Recherchez l’appareil sur lequel la détection a eu lieu et cliquez dessus pour voir les informations le concernant.
  3. Sur l’onglet Événements, recherchez l’événement de détection et cliquez sur Informations.
  4. Copiez l’ID de détection.

    Exemple de détails d’événement montrant un ID de détection
  5. Dans Sophos Central Enterprise, allez sur Paramètres généraux et cliquez sur Exclusions générales.
  6. Cliquez sur Ajouter une exclusion (dans le coin supérieur droit de la page).
  7. Dans la liste déroulante Type d’exclusion, sélectionnez Identifiant de détection et saisissez l’ID de détection.
    Une exclusion est ajoutée pour l’ID de détection associé à cette détection spécifique. Si le même comportement se reproduit sur votre sous-parc, il ne sera pas détecté. En revanche, si le comportement est différent, par exemple s’il s’applique à des chemins ou des fichiers différents, il fera l’objet d’une ID de détection différente et nécessitera une exclusion distincte.
  8. Cliquez sur Ajouter ou sur Ajouter une autre. L'exclusion est ajoutée dans la liste des exclusions.