跳至內容

解決 PUA 警示

以下是您可以用來解決 PUA 警示的動作。

在您需要採取行動或需要調查可能不需要的應用程式 (PUA) 偵測時,我們會透過警示告知您。我們也會告訴您我們是否已嘗試清理 PUA 。我們會在裝置的詳細資料頁面上顯示此資訊。請參閱設備

我們也可能產生威脅圖表。這提供了有關偵測到的 PUA 的更多資訊。請參閱威脅圖表

檢查 PUA 是否為誤判

惡意軟體偵測有時可能不正確。例如,深度學習(偵測名稱:ML/PE-A) 偵測使用機器學習來識別以前未發現的惡意軟體。儘管它非常有效,但有時也可能將合法應用程式識別爲惡意軟體。

如果偵測不正確,您可以允許應用程式或新增排除項。

如果偵測正確,則應清理應用程式。

如果您不確定應用程式是否為惡意或 PUA,您應調查警示。然後,您可以根據需要允許或清理應用程式。

處理誤判

如果您認為偵測不正確,您可以允許應用程式或新增排除項。

則警告

當您允許應用程式或新增排除項時,請務必小心。這樣做可能會降低對您的保護。

例如,如果您排除目錄,然後惡意軟體也從該位置執行,則不會封鎖該惡意軟體。

若要處理誤判,請執行下列動作:

  • 如果您要允許某個應用程式,請進行以下步驟。

    1. 移至 概觀,然後按一下 設備
    2. 根據偵測到應用程式的位置,前往 電腦伺服器 頁面。
    3. 找到發生偵測的裝置,然後檢視詳細資料。
    4. 事件 標籤上,找到偵測事件,然後按一下 詳細資訊
    5. 事件詳細資訊 對話框中,查看 允許該應用程式 底下。
    6. 選擇允許應用程式的方式。
      • 憑證:我們推薦此項。使用同一憑證的其他應用程式也會一併許可。
      • SHA-256:此方法會許可此版本的應用程式。但是,如果您更新了應用程式,我們可以再次偵測它。
      • 路徑:如果應用程式安裝在該位置,則允許該應用程式。如果應用程式安裝在其他電腦的其他位置,您可以使用變數。
    7. 按一下 許可。有關允許應用程式的更多資訊,請參見 許可的應用程式
  • 如果您要新增排除項,建議您使用原則式排除項。您可以鎖定排除項,並使它們盡可能具體。若要新增排除項,請依照以下步驟操作:

    1. 對於端點,請轉至 Endpoint Protection > 策略 並設定排除項。

      請參閱威脅防護策略

    2. 對於伺服器,請轉至 Server Protection > 策略 並設定排除項。

      請參閱伺服器威脅防護策略

  • 在端點上,您可以允許 警示 頁面中的應用程式。若要執行此操作,請依照以下步驟操作。

    1. 轉至 概觀 > 警示
    2. 查找 PUA 警示。
    3. 按一下 授權 PUA

      則警告

      這將授權 PUA 在所有電腦上執行。我們建議您使用應用程式的憑證或 SHA-256 來允許該應用程式。

您現在可以解決警示。

清理 PUA

如果您認爲偵測正確,則可以清理應用程式。

若要執行此操作,請依照以下步驟操作。

  • 在端點上,您可以移除 警示 頁面上的 PUA 。若要執行此操作,請依照以下步驟操作。

    1. 轉至 概觀 > 警示
    2. 按一下 清理 PUA 如果在網路共用中偵測到 PUA,則此動作可能不可用。這是因為 Endpoint Protection 代理程式沒有足夠的權限來清理此處的檔案。
  • 如果您無法從 警示 頁面清理 PUA,請執行下列動作:

    1. 刪除應用程式、任何關聯的程序和登錄項目。

      您可能會發現調查警示很有幫助,因為您可以找到任何相關程序或其他可疑檔案的詳細資訊。

調查警示

警示可能不會提供您所需的偵測到的 PUA 的所有相關資訊。如果您不確定偵測到的 PUA 是惡意的還是不需要的,您應該檢閱其所有資訊。

若要執行此操作,請依照以下步驟操作。

  1. 檢查是否存在威脅圖表。在 Sophos Central 中,移至 概觀 然後按一下 威脅分析中心
  2. 尋找與偵測到的 PUA 相關的威脅圖表。

    如果存在威脅圖表,它將顯示偵測到的 PUA 的詳細資料。它會顯示所執行的任何活動以及是否有其他可疑的檔案或程序可進行調查。

  3. 如果沒有威脅圖表,請建立一個圖表。

  4. 可選:如果可以,請與使用者聯絡,瞭解感染發生時發生的情況。例如,他們是否點按了電子郵件中的連結或連接了記憶體?
  5. 調查威脅圖表並遵循我們建議的步驟處理問題。

    有關使用威脅圖表調查威脅的說明,請參見 威脅圖表分析

  6. 如果要允許應用程式,請按照 “處理誤報“ 的步驟操作。

  7. 如果要移除應用程式,請按照 “清理 PUA“ 的步驟操作。

您現在可以解決警示。

解決警示

當您允許或移除了應用程式時,就可以解決警示。若要執行此操作,請依照以下步驟操作。

  1. 轉至 概觀 > 警示
  2. 前往警示。
  3. 按一下 標示為已解決
回到頁首