Исключения из обнаружения

Исключения из обнаружения позволяют исключить объекты из списка очищения путем фильтрации имени обнаружения, пути объекта или его хеша.

example

Как работает исключение обнаружения

Исключения из обнаружения не исключают файлы и папки из сканирования, как делают Исключения для быстродействия. Исключения обнаружения исключают объекты только тогда, когда они обнаружены механизмом обнаружения и в списке исключений присутствует соответствующее правило.

Например (см. первый ряд на изображении ниже), когда объект определяется как Win32/Adware.Optmedia и обнаруженный файл — C:\Recovery\file.exe. Во второй строке, каждый файл, в котором есть подходящий хеш SHA-1, всегда будет исключен, несмотря на имя обнаружения.

CONFIG_EXCLUDE_DETECTION

Чтобы убедиться, что все угрозы обнаружены, мы рекомендуем создавать исключения из обнаружения только тогда, когда это абсолютно необходимо.

Чтобы добавить файлы и папки в список исключений, выберите Расширенные параметры (клавиша F5) > Модуль обнаружения > Исключения > Исключения из обнаружения > Изменить.

Чтобы исключить объект (по названию обнаружения или хешу) из очистки, нажмите Добавить.

Критерии объектов исключения из обнаружения

Путь. Ограничение исключения из обнаружения для определенного пути (или любого другого пути).

Имя обнаружения: если рядом с исключаемым файлом указано имя обнаружения, это значит, что файл сканируется на наличие всех обнаружений, кроме этого. Если этот файл позже окажется заражен другой вредоносной программой, модуль обнаружения определит ее. Этот тип исключений можно использовать только для определенных типов заражений. Создать такое исключение можно либо в окне предупреждения, в котором сообщается о заражении (последовательно щелкните элементы Показать расширенные параметры > Исключить из обнаружения), либо в разделе Сервис > Карантин, щелкнув правой кнопкой мыши файл на карантине и выбрав в контекстном меню пункт Восстановить и исключить из сканирования.

Хеш: файл исключается на основании указанного хеша (SHA1) независимо от типа, расположения, имени или расширения.

Элементы управления

Добавить: добавление новой записи для исключения объектов из очистки.

Изменить: изменение выделенных записей.

Удалить: удаление выбранных записей (чтобы выбрать несколько записей, щелкайте их, удерживая нажатой клавишу CTRL).

Импорт/Экспорт: выполнять импорт и экспорт исключений из обнаружения удобно, если нужно создать резервную копию текущих исключений для использования в будущем. Экспорт параметров также удобен для пользователей в неуправляемых средах, если необходимо использовать предпочитаемую конфигурацию на нескольких компьютерах. С этой целью можно легко импортировать TXT-файл для переноса нужных параметров.
hmtoggle_plus0 Отображение образца формата для файла импорта/экспорта

Настройка исключений из обнаружения в ESMC

ESMC версии 7.1 включает новый мастер управления исключениями обнаружения— создание исключения из обнаружения и применение его к большему количеству компьютеров/групп.

Возможные исключения из обнаружения из ESMC

При наличии локального списка исключений обнаружения, администратор должен применить политику с помощью Разрешать добавление исключения из обнаружения к локально заданному списку. После этого, добавление исключение из обнаружения из ESMC будет работать, как и ожидалось.

admin_pol_detection_exclusion