Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=detection-stop-exploit

Arrêt de la détection d’un Exploit

Vous pouvez exclure une application de la détection des Exploits, soit en réponse à une détection, soit avant toute détection.

Avertissement

Procédez avec prudence avant d’ajouter des exclusions car cette opération affaiblit votre niveau de protection.

Vous pouvez définir des exclusions pour un événement spécifique, un Exploit spécifique ou tous les Exploits associés à une application.

Pour exclure les applications de certains utilisateurs ou appareils de la protection contre les Exploits, configurez une stratégie de protection des terminaux contre les menaces. Voir Stratégie de protection contre les menaces.

Pour exclure les applications de certains serveurs de la protection contre les Exploits, configurez une stratégie de protection des serveurs contre les menaces. Voir Stratégie de protection des serveurs contre les menaces.

L’ajout d’exclusions réduit votre protection. Aussi, nous vous recommandons d’utiliser des stratégies pour cibler les utilisateurs et les appareils pour lesquels l’exclusion est nécessaire plutôt que d’utiliser les options d’exclusion qui s’appliquent à tous vos utilisateurs et à leurs appareils.

Arrêter la détection d’un Exploit détecté (à l’aide de la liste d’événements)

Si un Exploit est détecté sur une application et que vous êtes sûr que la détection est incorrecte, vous pouvez empêcher que ceci ne se reproduise à l’aide des options disponibles dans votre liste d’événements.

Ceci s’applique à tous vos utilisateurs et ordinateurs.

L’ajout d’exclusions réduit votre protection. Aussi, nous vous recommandons d’utiliser des stratégies pour cibler les utilisateurs et les appareils pour lesquels l’exclusion est nécessaire plutôt que d’utiliser l’option générale.

Pour arrêter la détection d’un Exploit, procédez comme suit :

  1. Allez dans Appareils > Ordinateurs ou Serveurs selon l’emplacement dans lequel l’application a été détectée.
  2. Recherchez l’ordinateur sur lequel la détection a eu lieu et cliquez dessus pour voir les informations le concernant.
  3. Sur l’onglet Événements, recherchez l’événement de détection et cliquez sur Informations.

  4. Dans Informations sur l’événement, recherchez Ne plus détecter et sélectionnez une option :

    • L’option Exclure cet identifiant de détection de la vérification. empêche la détection sur cette application. Une exclusion est ajoutée pour l’ID de détection associé à cette détection spécifique. Si le même comportement se reproduit sur votre sous-parc, il ne sera pas détecté. En revanche, si le comportement est différent, par exemple s’il s’applique à des chemins ou des fichiers différents, il fera l’objet d’une ID de détection différente et nécessitera une exclusion distincte.
    • L’option Exclure cette prévention de la vérification de cette application empêche toute recherche de cet Exploit sur cette application. Ceci augmente le risque d’attaque. Cependant, elle peut être utile lorsque des applications métier spécifiques génèrent de nombreuses détections inattendues.
    • L’option Exclure cette application de la vérification empêche toute recherche d’Exploits sur cette application. Ceci est très dangereux. Veuillez donc l’utiliser en dernier recours.

    • Essayez d’exclure d’abord l’identifiant de détection pour plus de précision. Si la même détection se reproduit, veuillez exclure l’Exploit. Si la même détection continue à se produire, veuillez exclure l’application.

      « Détails de l'événement » montrant un type de détection StackExec sur une application.

  5. Cliquez sur Exclure.

Nous allons ajouter votre exclusion à une liste.

Les exclusions de l’identifiant de détection vont dans les Exclusions générales. Les exclusions d’application vont dans Exclusions de la prévention des Exploits.

Arrêter la détection d’un Exploit qui a été détecté (avec les paramètres de stratégie)

Si un Exploit est détecté sur une application et que vous êtes sûr que la détection est incorrecte, vous pouvez empêcher que ceci ne se reproduise à l’aide des options disponibles dans la stratégie de protection contre les menaces.

Vous pouvez également utiliser une stratégie de protection contre les menaces pour exclure les applications Windows de la protection contre les Exploits de sécurité.

L’ajout d’exclusions réduit votre protection. Aussi, nous vous recommandons d’ajouter les exclusions de prévention des Exploits par le biais de stratégies. En effet, celles-ci permettent de cibler des utilisateurs et des appareils précis. Ceci vous permettra d’appliquer la stratégie uniquement aux utilisateurs et aux appareils pour lesquels l’exclusion est nécessaire.

Si vous utilisez une stratégie pour bloquer la détection d’un Exploit, nous continuerons à rechercher d’autres Exploits qui affectent cette application.

Pour arrêter la détection d’un Exploit, procédez comme suit :

  1. Allez dans Mes produits > Endpoint ou Server.
  2. Dans Stratégies, recherchez la stratégie de Protection contre les menaces qui s’applique aux appareils.
  3. Sous Paramètres, recherchez Exclusions et cliquez sur Ajouter une exclusion.
  4. Dans le champ Type d’exclusion, sélectionnez Exploits détectés (Windows/Mac).
  5. Sélectionnez l’Exploit et cliquez sur Ajouter.
  6. Vérifiez que la stratégie est assignée aux utilisateurs et appareils voulus.

Vous pouvez également utiliser une stratégie pour arrêter la détection des Exploits sur toutes les applications d’un certain type. Dans la stratégie de protection contre les menaces, désactivez la prévention des Exploits (sous Protection à l’exécution (runtime)) pour le type d’application.

Avertissement

Nous déconseillons la désactivation de la prévention des Exploits.

Arrêter la recherche d’un Exploit spécifique sur une application

Supposons qu’aucune détection n’a été effectuée pour une application mais qu’il a été déterminé que l’application doit être exclue d’une prévention spécifique. Dans ce cas, vous pouvez arrêter de vérifier de manière proactive la présence d’un Exploit spécifique.

Si vous utilisez cette méthode, nous continuerons à rechercher d’autres Exploits qui affectent cette application.

L’ajout d’exclusions réduit votre protection. Aussi, nous vous recommandons d’utiliser des stratégies pour cibler les utilisateurs et les appareils pour lesquels l’exclusion est nécessaire plutôt que d’utiliser l’option générale.

Pour arrêter la recherche d’un Exploit spécifique, procédez comme suit :

  1. Allez dans Mes produits > Paramètres généraux > Exclusions générales.
  2. Cliquez sur Ajouter une exclusion.
  3. Sous Type d’exclusion, sélectionnez Prévention des Exploits (Windows).

  4. Dans la liste des applications, sélectionnez l’application à exclure.

    1. Si elle ne figure pas dans la liste, cliquez sur L’application n’est pas dans la liste ?. Sous Exclure l’application par chemin, saisissez le chemin complet de l’application.

      « Ajouter une exclusion » affichant une liste d’applications protégées.

  5. Sous Préventions, désactivez la prévention à partir de laquelle vous souhaitez exclure l’application.

    « Préventions » affichant une liste des préventions activées pour l’application.

  6. Cliquez sur Ajouter.

  7. Cliquez sur Enregistrer.

Arrêter la recherche de tous les exploits sur une application

Si une application génère de nombreuses détections d’Exploit inattendues ou rencontre des problèmes de performances lorsque la fonction de prévention des Exploits est activée, vous pouvez arrêter de rechercher toutes les Exploits sur l’application.

Si vous utilisez cette méthode, nous ne vérifierons pas la présence d’Exploits dans l’application mais nous continuerons à vérifier tout signe de comportement de ransomware et la présence de malwares.

L’ajout d’exclusions réduit votre protection. Aussi, nous vous recommandons d’utiliser des stratégies pour cibler les utilisateurs et les appareils pour lesquels l’exclusion est nécessaire plutôt que d’utiliser l’option générale.

Pour arrêter la recherche de tous les Exploits sur une application, procédez comme suit :

  1. Allez dans Mes produits > Paramètres généraux > Exclusions générales.
  2. Cliquez sur Ajouter une exclusion.
  3. Sous Type d’exclusion, sélectionnez Prévention des Exploits (Windows).

  4. Dans la liste des applications, sélectionnez l’application à exclure.

    1. Si elle ne figure pas dans la liste, cliquez sur L’application n’est pas dans la liste ?.

    2. Sous Exclure l’application par chemin, saisissez le chemin complet de l’application.

      « Ajouter une exclusion » affichant une liste d’applications protégées.

  5. Sous Préventions, désactivez Protéger l’application.

    « Préventions » affichant l’option « Protéger l’application ».

  6. Cliquez sur Ajouter.

  7. Cliquez sur Enregistrer.