Criando regra de exceção de antimalware
Criando regra de exceção de antimalware
SINTOMA:
Você precisa criar regras de exceção de antimalware.
APLICA-SE À:
- BitDefender GravityZone cloud.
- BitDefender GravityZone on-premise.
SOLUÇÃO:
VISÃO GERAL:
BitDefender possui dois motores de proteção contra ameaças a saber:
- Antimalware: protege os computadores com assinaturas (arquivos de definição de malware atualizados de hora em hora).
- Controle avançado de ameaças: protege os computadores em tempo com inteligência artificial na nuvem. Ele lida unicamente com processos em execução e acompanha todo seu ciclo de vida.
DIFERENÇA NA CRIAÇÃO DA REGRA DE EXCEÇÃO.
As regras de exceção não são iguais para o antimalware e o ‘Controle Avançado de Ameaças (ATC)’. Antes de criar uma regra você precisa identificar que tipo de detecção está ocorrendo olhando na tela do ‘BitDefender Endpoint Security Tools’ diretamente na máquina afetada ou extraíndo um relatório através do console de gerenciamento chamado ‘Aplicativos Bloqueados’.
Regras de exceção de antimalware lidam com arquivos em disco ou originados da rede. Você poderá criar regras de exceção do tipo Arquivo, Diretório, Extensão, Hash SHA-256, Hash de certificado ou nome da ameaça.
Regras de exceção do ‘Controle Avançado de Ameaças (ATC)’ sempre são o caminho completo de um processo em execução. As regras destinadas ao ATC serão sempre do tipo ‘Processo’.
PROCEDIMENTO:
Existem dois métodos para criação de regra de exceção a saber:
- Método 1: debug da detecção diretamente no endpoint afetado, edição manual da política e inclusão da regra.
- Método 2: consiste em criar a regra de exceção a partir de um relatório.
MÉTODO 1:
INVESTIGANDO UMA DETECÇÃO INCORRETA LOCALMENTE:
Este método consiste em visitar o endpoint que possui uma detecção incorreta, abrir sua interface para identificar o tipo de detecção fornecida e criar a regra apropriada. Siga as indicações do arquivo abaixo:
CRIANDO A REGRA DE EXCEÇÃO:
1. Efetue login na console de gerenciamento do BitDefender GravityZone.
2. Clique no menu ‘Políticas’.
3. Clique na política que está aplicada aos computadores alvo desta mudança.
4. Clique no menu ‘Antimalware’ -> ‘Configurações’.
5. Marque a caixa ‘Exclusões embutidas’ e ‘Exclusões personalizadas’.
6. Na caixa de listagem ‘Tipo’ e selecione o tipo de regra que deseja criar. Os tipos disponíveis são:
- Arquivo: caminho completo em disco ou UNC do arquivo que você deseja excluir da varredura.
- Diretório: caminho completo em disco ou UNC até um diretório que contém os arquivos a serem excluídos. Esta opção não vale para sub-pastas e você precisará ser preciso ao indicar a pasta que contém os programas que você deseja excluir da varredura.
- Extensões: extensões de arquivo separadas por ponto e vírgula. Exemplo: mp3;jpg;png..
- Processos: o caminho completo em disco de um processo em curso.
- Hash do arquivo o hash SHA-256 de um arquivo. O hash é uma assinatura única do arquivo que está sendo detectado. Você pode gerar este hash fazendo upload do arquivo neste site. Cole o hash gerado no campo ‘Excluded itens’.
- Certificate hash: permite especificar um fingerprint de certificado. Ele é um identificador único do certificado. O Microsoft Internet Explorer chama isto de Thumbprint. O processo de obtenção do Thumbprint é discutido neste artigo da Microsoft.
- Nome da ameaça: é nome do malware que está sendo detectado pelo BitDefender.
- Linha de comando: é uma linha de comando que você informa manualmente ou insere em um script ou na inicialização do Windows.
7. Na caixa ‘Excluded items’ informe o item a ser excluído de acordo com tipo selecionado.
8. Na caixa ‘Módulos’ você deverá informar para qual módulo de segurança você deseja executar a exceção. São eles:
- Sob demanda: exclui de varreduras manuais ou agendadas.
- On-access: exclui da varredura em tempo real usando assinaturas.
- ATC/IDS: exclui da inteligência artificial na nuvem e do IDS.
Alerta:
Marcar todos os tipos significa que o item alvo ficará totalmente desprotegido. Procure selecionar o tipo apropriado.
9. Pressione o botão Adicionar (+). A regra será inclusa.
10. Pressione o botão ‘Salvar’ para salvar suas alterações.
11. A política será aplicada aos computadores ou grupos que você definiu como alvo.
Se esta é a primeira vez que você está criando ou editando uma política, visite o artigo abaixo para aprender como aplicar a política à grupos de máquinas personalizados, computadores individuais ou unidades organizacionais do Active Directory.
Dica:
Você só precisa aplicar uma política na primeira vez, se você alterar uma política ela será automaticamente aplicada aos grupos alvo.
MÉTODO 2:
Execute este procedimento, consiste em diagnosticar o problema usando o relatório de ‘Aplicações bloqueadas’ disponível no console de gerenciamento.
1. Efetue login no console de gerenciamento do BitDefender GravityZone.
2. Clique no menu ‘Relatórios’.
3. A janela ‘Criar relatório’ será aberta.
4. Na caixa ‘Tipo’ escolha ‘Aplicações bloqueadas’
5. Na caixa ‘Intervalo entre relatórios’ escolha o período que corresponde a data que a detecção ocorreu.
6. Pressione o botão ‘Gerar’.
7. O resultado do relatório é mostrado. Esteja atento as seguintes colunas.
- Processo: é o nome do programa que está sendo detectado.
- Caminho: é o caminho em disco do programa que está sendo detectado.
- Módulo: é tipo de motor que realizou a detecção. Ele pode ser antimalware ou ATC/IDS.
- Nome do endpoint: informa o nome do endpoint onde a detecção aconteceu.
- Tentativas: informa o número de tentativas de execução do arquivo.
- Último bloqueio: informa a data que o arquivo foi bloqueado pelo BitDefender pela última vez.
8. Marque o arquivo que está sendo detectado.
9. Clique no botão ‘Adicionar exceção’.
10. O console irá mostrar a política que está aplicada ao endpoint onde a detecção ocorreu.
11. Confirme a adição da regra, marcando a política e clicando no botão ‘Adicionar’.
12. Será criada uma regra de exceção apropriada para o tipo de detecção na política que está aplicada ao endpoint em questão.
Vantagens e desvantagens deste método:
Método 1: este método possui a vantagem de poder ser aplicado a múltiplas políticas manualmente, mas sua implementação é mais trabalhosa e requer um técnico com conhecimento na solução.
Método 2: este método permite criar uma política de forma fácil , mas a adição da regra de exceção limita-se a política que está aplicada ao endpoint que realizou a detecção. Não é possível criar estas mesmas regras em múltiplas políticas, exceto se você tiver detecções similares em outros hosts que possuem políticas diferentes.
NOTA DE COPYRIGHT
A Lnx-IT Informação e Tecnologia não autoriza a cópia, alteração, adaptação, redistribuição, deste artigo sem autorização prévia por escrito. Interessados em utilizar poderão nos contatar através de nossos telefones ou e-mail.