Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=detection-stop-exploit

Disattivazione del rilevamento di un exploit

Un'applicazione può essere esclusa dal rilevamento degli exploit sia in risposta a un rilevamento che prima di qualsiasi rilevamento.

Avviso

Si consiglia di riflettere attentamente prima di aggiungere esclusioni, in quanto questa azione comporta un abbassamento del livello di sicurezza.

È possibile impostare esclusioni per un evento specifico, un exploit specifico o tutti gli exploit associati a un'applicazione.

Se si desidera escludere applicazioni dalla protezione contro gli exploit per alcuni utenti o dispositivi specifici, è possibile eseguire questa operazione utilizzando un criterio di Endpoint Threat Protection; vedere Criterio di protezione contro le minacce.

Se si desidera escludere applicazioni dalla protezione contro gli exploit per alcuni server specifici, è possibile eseguire questa operazione utilizzando un criterio di Server Threat Protection; vedere Criterio di protezione contro le minacce del server.

Poiché l'aggiunta di esclusioni limita la protezione, invece di applicare opzioni di esclusione a tutti gli utenti e i dispositivi, si consiglia di utilizzare criteri destinati a utenti e dispositivi specifici, per i quali l'esclusione è necessaria.

Disattivazione del rilevamento di un exploit che è stato rilevato (utilizzando l'elenco Eventi)

Se viene rilevato un exploit su un'applicazione ma si è sicuri che il rilevamento è incorretto, è possibile impedire che il rilevamento venga effettuato in futuro utilizzando le opzioni disponibili nell'elenco Eventi.

Questa impostazione viene applicata a tutti gli utenti e i computer.

Poiché l'aggiunta di esclusioni limita la protezione, al posto di questa opzione globale si consiglia di utilizzare criteri da applicare a utenti e dispositivi specifici, per i quali l'esclusione è necessaria.

Per disattivare il rilevamento di un exploit, procedere come segue:

  1. Selezionare Dispositivi > Computer o Server, a seconda di dove sia stata rilevata l’applicazione.
  2. Individuare il computer in cui è avvenuto il rilevamento e cliccarvici sopra per visualizzarne i dettagli.
  3. Nella scheda Eventi, cercare l'evento di rilevamento e cliccare su Dettagli.

  4. Sotto Dettagli evento, cercare Non rilevare più questo elemento e selezionare un'opzione:

    • Escludi questo ID di rilevamento dai controlli. impedisce che venga effettuato questo rilevamento su questa applicazione. Aggiunge un'esclusione per l'ID di rilevamento associato a questo rilevamento specifico. Se si dovesse riscontrare di nuovo lo stesso comportamento all'interno del proprio ambiente, questo non attiverà il rilevamento. Tuttavia, se il comportamento dovesse essere diverso, ad esempio con percorsi o file diversi, l'ID di rilevamento sarà un altro e richiederà un'esclusione separata.
    • Escludi questa attenuazione dal controllo per questa applicazione impedisce qualsiasi controllo volto a individuare questo exploit su questa applicazione. Questa opzione aumenta il rischio di attacco. Tuttavia, può essere utile quando sono presenti applicazioni aziendali specifiche che generano molti rilevamenti imprevisti.
    • Escludi questa applicazione dai controlli impedisce qualsiasi controllo volto a individuare qualsiasi exploit su questa applicazione. Questa opzione comporta un rischio molto elevato e pertanto deve essere utilizzata solo come ultima risorsa.

    • Provare prima a escludere l'ID di rilevamento, in quanto questa alternativa è più accurata. Se si dovesse verificare nuovamente lo stesso rilevamento, escludere l'exploit. Se dovesse continuare a verificarsi lo stesso rilevamento, escludere l'applicazione.

      “Dettagli evento”, che mostra un tipo di rilevamento StackExec su un’applicazione.

  5. Cliccare su Escludi.

Aggiungeremo l'esclusione a un elenco.

Le esclusioni dell'ID di rilevamento rientrano nelle Esclusioni globali. Le esclusioni delle applicazioni rientrano nelle Esclusioni da attenuazione exploit.

Disattivazione del rilevamento di un exploit che è stato rilevato (utilizzando le impostazioni dei criteri)

Se viene rilevato un exploit su un'applicazione ma si è sicuri che il rilevamento è incorretto, è possibile impedire che venga rilevato in futuro utilizzando le opzioni disponibili nel criterio di protezione contro le minacce.

È anche possibile utilizzare un criterio di protezione contro le minacce per escludere applicazioni Windows dalla protezione contro gli exploit della sicurezza.

L'aggiunta di esclusioni limita la protezione. Si consiglia di utilizzare i criteri per aggiungere esclusioni da attenuazione exploit, in quanto possono essere applicati a utenti e dispositivi specifici. È poi possibile assegnare un criterio solo agli utenti e ai dispositivi su cui l'esclusione è necessaria.

Se si utilizza un criterio per interrompere il rilevamento di un exploit, continueremo a monitorare la presenza di eventuali altri exploit dell'applicazione interessata.

Per disattivare il rilevamento dell'exploit, procedere come segue:

  1. Aprire Prodotti > Endpoint o Server.
  2. In Criteri, cercare il criterio di Protezione dalle minacce applicabile ai dispositivi.
  3. Sotto Impostazioni, cercare Esclusioni e cliccare su Aggiungi esclusione.
  4. Nella casella Tipo di esclusione, selezionare Exploit rilevati (Windows/Mac).
  5. Selezionare l'exploit e cliccare su Aggiungi.
  6. Verificare che il criterio sia assegnato agli utenti e ai dispositivi giusti.

È anche possibile utilizzare un criterio per disattivare il rilevamento degli exploit su tutte le applicazioni di un tipo specifico. Per questa opzione, selezionare il criterio di protezione contro le minacce e disattivare l'attenuazione degli exploit (che si trova sotto Protezione runtime) per il tipo di applicazione desiderato.

Avviso

Si sconsiglia di disattivare l'attenuazione degli exploit.

Interruzione delle analisi volte a individuare un exploit specifico su un'applicazione

Supponiamo che non si sia verificato un rilevamento per un'applicazione, ma che sia stato identificato che l'applicazione deve essere esclusa da un'attenuazione specifica. In tal caso, è possibile interrompere proattivamente le analisi volte a individuare un exploit specifico.

Se viene selezionato questo metodo, continueremo a monitorare la presenza di eventuali altri exploit che riguardano l'applicazione interessata.

Poiché l'aggiunta di esclusioni limita la protezione, al posto di questa opzione globale si consiglia di utilizzare criteri da applicare a utenti e dispositivi specifici, per i quali l'esclusione è necessaria.

Per interrompere le analisi volte a individuare un exploit specifico, procedere come segue:

  1. Aprire Prodotti > Impostazioni generali > Esclusioni globali.
  2. Cliccare su Aggiungi esclusione.
  3. Sotto Tipo di esclusione, selezionare Attenuazione degli exploit (Windows).

  4. Nell'elenco delle applicazioni, selezionare l'applicazione che si desidera escludere.

    1. Se non è elencata, cliccare su Applicazione non elencata?. Sotto Escludi applicazione in base al percorso, immettere il percorso completo dell'applicazione.

      “Aggiungi esclusione”, che mostra un elenco di applicazioni protette.

  5. Sotto Attenuazioni, disattivare l'attenuazione da cui si desidera escludere l'applicazione.

    “Attenuazioni”, che mostra un elenco di attenuazioni attivate per l'applicazione.

  6. Cliccare su Aggiungi.

  7. Cliccare su Salva.

Interruzione delle analisi volte a individuare tutti gli exploit su un'applicazione

Se un'applicazione genera molti rilevamenti imprevisti di exploit oppure presenta problemi di performance quando è attivata la funzionalità di attenuazione degli exploit, è possibile interrompere le analisi volte a individuare tutti gli exploit su questa applicazione.

Se viene selezionato questo metodo, non monitoreremo più l'applicazione alla ricerca di exploit, ma continueremo a effettuare controlli antimalware e antiransomware basati sul comportamento.

Poiché l'aggiunta di esclusioni limita la protezione, al posto di questa opzione globale si consiglia di utilizzare criteri da applicare a utenti e dispositivi specifici, per i quali l'esclusione è necessaria.

Per interrompere le analisi volte a individuare tutti gli exploit su un'applicazione, procedere come segue:

  1. Aprire Prodotti > Impostazioni generali > Esclusioni globali.
  2. Cliccare su Aggiungi esclusione.
  3. Sotto Tipo di esclusione, selezionare Attenuazione degli exploit (Windows).

  4. Nell'elenco delle applicazioni, selezionare l'applicazione che si desidera escludere.

    1. Se non è elencata, cliccare su Applicazione non elencata?.

    2. Sotto Escludi applicazione in base al percorso, immettere il percorso completo dell'applicazione.

      “Aggiungi esclusione”, che mostra un elenco di applicazioni protette.

  5. Sotto Attenuazioni, disattivare Proteggi applicazione.

    “Attenuazioni”, che mostra l'opzione “Proteggi applicazione”.

  6. Cliccare su Aggiungi.

  7. Cliccare su Salva.