Criar uma exclusão para uma regra de Controle Adaptativo de Anomalias

Você não pode criar mais de 1.000 exclusões da Regra de Controle Adaptativo de Anomalias. Não é recomendado criar mais de 200 exclusões. Para reduzir o número de exclusões usadas, recomenda-se usar máscaras nas configurações de exclusões.

Uma exclusão para regra de Controle Adaptativo de Anomalias inclui uma descrição dos objetos de origem e destino. O objeto de origem é aquele que executa as ações. O objeto de destino é aquele em que as ações estão sendo executadas. Por exemplo, você abriu um arquivo nomeado file.xlsx. Como resultado, um arquivo da biblioteca com a extensão DLL é carregado na memória do computador. Essa biblioteca é utilizada por um navegador (nome do arquivo executável browser.exe). Nesse exemplo, arquivo.xlsx é o objeto de origem, Excel é o processo de origem, browser.exe é o arquivo de destino e Navegador é o processo de destino.

Para criar uma exclusão para uma regra de Controle Adaptativo de Anomalias:

1. Na janela principal do aplicativo, clique no botão .
2. Na janela de configurações do aplicativo, selecione Controles de segurança → Controle Adaptativo de Anomalias.
3. No bloco Regras, clique no botão Editar regras.

   A lista de regra de controle adaptativo de anomalias é aberta.

4. Selecione uma regra na tabela.
5. Clique Editar.

   A janela de propriedades da regra de controle adaptativo de anomalias é aberta.

6. No bloco Exclusões, clique no botão Adicionar.

   A janela de propriedades de exclusão é exibida.

7. Selecione o usuário para o qual deseja configurar uma exclusão.

   É possível selecionar usuários no Active Directory, na lista de contas no Kaspersky Security Center ou ao inserir um nome de usuário local manualmente. A Kaspersky recomenda usar contas de usuário locais somente em casos especiais quando não for possível usar contas de usuário de domínio.

   O Controle Adaptativo de Anomalias não é compatível com exclusões para grupo de usuários. Caso um grupo de usuário seja selecionado, o Kaspersky Endpoint Security não aplica a exclusão.

8. No campo Descrição, insira uma descrição da exclusão.
9. Definir as configurações do objeto de origem ou processo de origem iniciado pelo objeto:
   • Processo de origem. Caminho ou máscara do caminho até o arquivo ou a pasta que contém os arquivos (por exemplo, С:\Dir\File.exe ou Dir\*.exe).
   • Hash do processo de origem. Código de hash do arquivo.
   • Objeto de origem. Caminho ou máscara do caminho até o arquivo ou a pasta que contém os arquivos (por exemplo, С:\Dir\File.exe ou Dir\*.exe). Por exemplo, o caminho do arquivo document.docm, que usa um script ou macro para iniciar os processos de destino.

     Você também pode especificar outros objetos a serem excluídos, como um endereço web, macro, comando na linha de comando, caminho de registro ou outros. Especifique o objeto de acordo com o seguinte modelo: object://<objeto>, em que <objeto> é o nome do objeto, por exemplo, object://web.site.example.com, object://VBA, object://ipconfig, object://HKEY_USERS. Você também pode usar máscaras, por exemplo, object://*C:\Windows\temp\*.

   • Hash do objeto de origem. Código de hash do arquivo.

   A regra de Controle Adaptativo de Anomalias não é aplicada a ações executadas pelo objeto ou a processos iniciados pelo objeto.

10. Especifique as configurações do objeto de destino ou processos de destino iniciados no objeto.
    • Processo de destino. Caminho ou máscara do caminho até o arquivo ou a pasta que contém os arquivos (por exemplo, С:\Dir\File.exe ou Dir\*.exe).
    • Hash do processo de destino. Código de hash do arquivo.
    • Objeto de destino. O comando para iniciar o processo de destino. Especifique o comando usando o seguinte padrão object://<comando>, por exemplo, object://cmdline:powershell -Command "$result = 'C:\Windows\temp\result_local_users_pwdage.txt'". Você também pode usar máscaras, por exemplo, object://*C:\Windows\temp\*.
    • Hash do objeto de destino. Código de hash do arquivo.

    A regra de Controle Adaptativo de Anomalias não é aplicada a ações executadas no objeto ou nos processos iniciados no objeto.

11. Salvar alterações.