Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=PUA-alert-resolve

Risoluzione degli avvisi di PUA

Quelle che seguono sono le azioni possibili per risolvere gli avvisi di PUA.

Utilizziamo gli avvisi per comunicare quando è necessario intraprendere un'azione o indagare sul rilevamento di un'applicazione potenzialmente indesiderata (PUA). Indichiamo anche se abbiamo provato a rimuovere la PUA. Questa informazione è reperibile nella pagina dei dettagli del dispositivo. Vedere Dispositivi.

Potrebbe anche essere generato un grafico delle minacce. Questo fornisce maggiori informazioni sulla PUA rilevata. Vedere Grafici delle minacce.

Come verificare se la PUA è un falso positivo

A volte il rilevamento del malware può non essere accurato. Per esempio, il rilevamento basato sul deep learning (nome rilevamento: ML/PE-A) utilizza il machine learning per identificare il malware che non è mai stato osservato prima. Sebbene sia altamente efficace, a volte può identificare applicazioni legittime come malware.

Se il rilevamento non è corretto, è possibile autorizzare manualmente l'applicazione o aggiungere un'esclusione.

Se il rilevamento è corretto, si consiglia di rimuovere l'applicazione.

Se non si è sicuri se l'applicazione sia dannosa o se si tratti di una PUA, occorre indagare sull'avviso. Sarà quindi possibile autorizzare o rimuovere l’applicazione secondo necessità.

Come indagare su un avviso

L'avviso potrebbe non fornire tutte le informazioni necessarie su una PUA rilevata. Se non si è sicuri se una PUA rilevata sia dannosa o solo indesiderata, valutare tutte le informazioni disponibili.

Per farlo, procedere come segue:

  1. Controllare se è presente un grafico delle minacce. In Sophos Central, aprire Centro di analisi delle minacce > Grafico delle minacce.

  2. Cercare un grafico delle minacce associato alla PUA rilevata.

    Se è presente un grafico delle minacce, verranno visualizzati i dettagli della PUA rilevata. Saranno indicate tutte le attività che ha svolto e verrà segnalato se sono presenti altri file o processi sospetti su cui indagare.

    1. Se non esiste un grafico delle minacce, creane uno.

      Restrizione

      Non è possibile creare un grafico delle minacce sui Mac.

  3. Opzionale: Se ritenuto appropriato, contattare l'utente per scoprire cosa è accaduto verso l'ora in cui si è verificata l'infezione. Ad esempio, l’utente ha cliccato su un link in un’e-mail o ha connesso un’unità USB?

  4. Indagare sul grafico delle minacce e seguire i passaggi suggeriti per risolvere il problema.

    Per assistenza sul processo di indagine sulle minacce utilizzando i grafici delle minacce, vedere Analisi dei grafici delle minacce.

  5. Una volta completata l’indagine, scegliere una delle seguenti opzioni:

  6. Risolvere l’avviso. Vedere Come risolvere un avviso.

Come procedere con un falso positivo

Se si ritiene che il rilevamento non è corretto, è possibile autorizzare manualmente l'applicazione o aggiungere un'esclusione.

Avviso

Si consiglia di prestare attenzione quando si autorizzano applicazioni o si aggiungono esclusioni. In questo modo, queste operazioni potrebbero diminuire il livello di protezione.

Ad esempio, se si esclude una directory e il malware viene eseguito anche da quel percorso, il malware non viene bloccato.

Per gestire un falso positivo, procedere come segue:

Per informazioni dettagliate, vedere le sezioni seguenti.

Autorizzazione di un’applicazione

Restrizione

È possibile utilizzare questa funzionalità sui dispositivi Windows e Linux, ma non sui Mac.

Se si desidera autorizzare un’applicazione, procedere come segue:

  1. Aprire Dispositivi > Computer o Server, a seconda di dove sia stata rilevata l’applicazione.
  2. Individuare il dispositivo in cui è avvenuto il rilevamento e visualizzarne i dettagli.
  3. Nella scheda Eventi, cercare l'evento di rilevamento e cliccare su Dettagli.
  4. Nella finestra di dialogo Dettagli evento, guardare sotto Autorizza questa applicazione.

  5. Scegliere come si desidera autorizzare l'applicazione.

    • Certificato (solo Windows): autorizza altre applicazioni con lo stesso certificato. questa è l'opzione che consigliamo.
    • SHA-256 (Windows, Linux): autorizza questa versione dell’applicazione. Tuttavia, se si aggiorna l'applicazione, è possibile che venga rilevata di nuovo.
    • Percorso (Windows): autorizza l’applicazione, se è installata in questo percorso. È possibile utilizzare variabili, se l'applicazione si trova in percorsi diversi su computer diversi.

    • Percorso (Linux): autorizza l’applicazione, a patto che sia installata nel percorso (posizione) indicato. Il percorso può essere modificato ed è possibile utilizzare variabili, se l’applicazione viene installata in percorsi diversi, su computer diversi. Occorrerà usare le barre.

      Nota

      È anche possibile utilizzare le seguenti opzioni per escludere il percorso di un file dalla scansione su Linux:

  6. Cliccare su Consenti.

Per ulteriori informazioni su come autorizzare le applicazioni, vedere Applicazioni autorizzate.

Aggiunta di un’esclusione

Se si desidera aggiungere un'esclusione, si consiglia di utilizzare esclusioni basate sui criteri. È possibile rendere le esclusioni mirate e fare in modo che siano estremamente specifiche.

Per aggiungere un'esclusione, procedere come segue:

  1. Per gli endpoint, selezionare Prodotti > Endpoint > Criteri e impostare un’esclusione.

    Vedere Criterio di protezione contro le minacce.

  2. Per i server, selezionare Prodotti > Server > Criteri e impostare un’esclusione.

    Vedere Criterio di protezione contro le minacce del server.

Autorizzazione di una PUA

Per gli endpoint, è possibile autorizzare un’applicazione dalla pagina Avvisi.

Per autorizzare un’applicazione, procedere come segue:

  1. Selezionare Avvisi.
  2. Individuare l'avviso sulla PUA.

  3. Cliccare su Autorizza PUA.

    Avviso

    • In questo modo le PUA verranno autorizzate a eseguirsi su tutti i computer.
    • Per Windows e Linux, si consiglia di autorizzare un’applicazione in base al rispettivo certificato o SHA-256.

Come rimuovere una PUA

Se si ritiene che il rilevamento sia corretto, è possibile rimuovere l'applicazione. Potrebbe essere utile svolgere prima indagini sulla PUA. Si potranno così ottenere ulteriori informazioni su eventuali processi associati o altri file sospetti.

Per rimuovere una PUA, procedere come segue:

  1. Accedi al computer.
  2. Eliminare l'applicazione, tutti i processi e le chiavi del registro di sistema associati.

Come risolvere un avviso

Una volta autorizzata o rimossa l’applicazione, è possibile risolvere l’avviso.

Per risolvere un avviso, procedere come segue:

  1. Selezionare Avvisi.
  2. Selezionare l'avviso.
  3. Cliccare su Segna come risolto.