Ereignisausschlüsse
Mit Ereignisausschlüssen können Sie Objekte von der Säuberung (löschen oder in die Quarantäne verschieben) ausschließen, indem Sie sie nach Ereignisname, Objektpfad oder Hash filtern.
|
So funktionieren Ereignisausschlüsse Ereignisausschlüsse schließen im Gegensatz zu Leistungsausschlüssen keine Dateien und Ordner vom Scannen aus. Ereignisausschlüsse schließen Objekte nur davon aus, gelöscht oder in die Quarantäne verschoben zu werden, wenn diese von der Erkennungsroutine erkannt wurden und eine entsprechende Regel in der Ausschlussliste existiert. Sehen Sie sich die Beispielregeln im folgenden Bild an. Die Regel in der ersten Zeile schließt ein Objekt aus, das als Eicar test file erkannt wird und sich unter /home/demo/Download/some.file befindet. Die Regel in der zweiten Zeile schließt alle erkannten Objekte mit dem entsprechenden SHA-1-Hash aus, unabhängig vom Ereignisnamen. |
Objektkriterien für Ereignisausschlüsse
•Pfad – Ausschluss des Ereignisses für einen angegebenen Pfad (oder für alle Pfade, falls leer)
•Ereignisname – Erkannte Objekte werden nur ausgeschlossen, wenn sie mit dem definierten Ereignisnamen übereinstimmen. Wenn die Datei später mit einer anderen Malware infiziert wird, ändert sich der Ereignisname, sie wird als Infektion erkannt und entsprechend behandelt. Wenn ein Pfad definiert ist, werden nur Dateien unter diesem Pfad und mit übereinstimmendem Ereignisnamen von der Erkennung ausgeschlossen. Verwenden Sie den Assistenten zum Erstellen von Ereignisausschlüssen, um diese Art von Ausschlüssen zu erstellen, oder navigieren Sie zu Quarantäne, klicken Sie auf eine Datei in der Quarantäne und wählen Sie Wiederherstellen und ausschließen aus. Diese Option wird nur für Objekte angezeigt, die von der Erkennungsroutine als ausschließbar bewertet wurden.
•Hash – Schließt eine Datei auf Basis eines angegebenen Hashs (SHA1 oder SHA256) aus, unabhängig von Dateityp, Speicherort, Name oder Erweiterung