Ereignisausschlüsse

Mit Ereignisausschlüssen können Sie Objekte von der Säuberung ausschließen, indem Sie sie nach Ereignisname, Objektpfad oder Hash filtern.

example

Funktionsweise von Ereignisausschlüssen

Ereignisausschlüsse schließen im Gegensatz zu Leistungsausschlüssen keine Dateien und Ordner vom Scannen aus. Ereignisausschlüsse schließen Objekte nur aus, wenn diese von der Erkennungsroutine erkannt wurden und eine entsprechende Regel in der Ausschlussliste existiert.

Zum Beispiel (siehe erste Zeile im Bild unten), Wenn ein Objekt als Win32/Adware.Optmedia erkannt wird und die Datei gleich C:\Recovery\file.exe ist. In der zweiten Zeile werden alle Dateien mit dem entsprechenden SHA-1-Hash unabhängig vom Ereignisnamen immer ausgeschlossen.

CONFIG_EXCLUDE_DETECTION

Um sicherzustellen, dass alle Bedrohungen erkannt werden, sollten Sie Ereignisausschlüsse nur erstellen, wenn dies unbedingt erforderlich ist.

Sie können Dateien und Ordner unter Erweiterte Einstellungen (F5) > Erkennungsroutine > Ausschlüsse > Ereignisausschlüsse > Bearbeiten zur Liste der Ausschlüsse hinzufügen.

Um ein Objekt (nach Ereignisname oder Hash) vom Säubern auszuschließen, klicken Sie auf Hinzufügen.

Objektkriterien für Ereignisausschlüsse

Pfad - Beschränkt einen Ereignisausschluss auf einen bestimmten Pfad (oder alle Pfade).

Ereignisname - Steht neben einer ausgeschlossenen Datei der Name eines Ereignisses, dann gilt die Ausnahme nicht generell für die Datei, sondern nur für dieses bestimmte Ereignis. Wird die Datei später durch andere Malware infiziert, wird dies erkannt. Dieser Ausschlusstyp kann nur bei bestimmten Arten eingedrungener Schadsoftware verwendet werden und wird entweder im Warnungsfenster für das Ereignis erstellt (klicken Sie auf Erweiterte Einstellungen anzeigen und dann auf Von der Erkennung ausschließen) oder indem Sie unter Tools > Quarantäne mit der rechten Maustaste auf die Datei in der Quarantäne klicken und aus dem Kontextmenü den Befehl Wiederherstellen und von Scans ausschließen auswählen.

Hash – Schließt eine Datei auf Basis eines angegebenen Hashs (SHA1) aus, unabhängig von Dateityp, Speicherort, Name oder Erweiterung.

Steuerelemente

Hinzufügen - Fügen Sie einen neuen Eintrag hinzu, um Objekte vom Säubern auszuschließen.

Bearbeiten - Ausgewählten Eintrag bearbeiten

Löschen – Ausgewählte Einträge entfernen (CTRL + Klicken, um mehrere Einträge auszuwählen.

Importieren/Exportieren - Das Importieren und Exportieren der Ereignisausschlüsse ist hilfreich, um Ihre aktuellen Ausschlüsse zur späteren Verwendung zu sichern. Die Option zum Exportieren der Einstellungen ist auch hilfreich für Benutzer in nicht verwalteten Umgebungen, die ihre bevorzugte Konfiguration auf mehreren Systemen verwenden möchten. Diese Benutzer können ihre Einstellungen übertragen, indem sie eine .txt-Datei importieren.
hmtoggle_plus0 Beispiel für das Import/Export-Dateiformat anzeigen

Einrichten von Ereignisausschlüssen in ESMC

ESMC 7.1 enthält einen neuen Assistenten zum Verwalten von Ereignisausschlüssen, mit dem Sie einen Ereignisausschluss erstellen und auf mehrere Computer oder Gruppen anwenden können.

Überschreiben möglicher Ereignisausschlüsse in ESMC

Wenn eine lokale Liste mit Ereignisausschlüssen existiert, muss ein Administrator eine Policy mit Anhängen von Ereignisausschlüssen an lokal definierte Liste erlauben anwenden. Anschließend funktionieren die Ereignisausschlüsse aus ESMC wie erwartet.

admin_pol_detection_exclusion