Création d’une liste d’exclusion

Endpoint Central permet aux utilisateurs d’exclure des fichiers ou dossiers spécifiques de la détection afin d’éviter les faux positifs et d’améliorer l’efficacité globale de la plateforme.

En excluant des fichiers ou des dossiers de la détection, les utilisateurs peuvent empêcher qu’une activité de fichier légitime ne déclenche des alertes et ainsi éviter des interruptions inutiles de leur flux de travail. Cependant, il est important de faire preuve de prudence lors de l’utilisation de cette option et de veiller à ce que seuls les fichiers et dossiers autorisés soient exclus de la détection afin de maintenir la sécurité du système.

Voici les étapes à suivre pour exclure des fichiers ou des dossiers de la détection.

Dans le cas où un incident est étiqueté comme faux positif lors de sa détection initiale, Endpoint Central le reconnaît automatiquement comme tel lors des détections ultérieures. Toutefois, afin d’éviter de futures détections de faux positifs et d’exclure des processus similaires, l’incident peut être ajouté à la liste d’exclusion.

Comment ajouter des fichiers faux positifs à la liste d’exclusion ?

L’ajout d’un processus faux positif à la liste d’exclusion ne doit être effectué que s’il existe un degré élevé de certitude qu’il s’agit bien d’un faux positif. Dans le cas contraire, cela pourrait potentiellement compromettre la sécurité de l’appareil.

Pour ajouter des faux positifs à la liste d’exclusion, veuillez suivre les étapes ci-dessous :

1. Accédez à Paramètres -> Exclusion.
2. Cliquez sur l’option Ajouter une exclusion.
3. Saisissez les détails de l’exécutable faux positif.
4. Choisissez le type de moteur dont vous souhaitez exclure la détection, ou choisissez Sélectionner tout pour exclure la détection par le système.
5. Choisissez le type d’exclusion et fournissez le nom interne du Portable Executable (PE) afin d’identifier le processus.

Vous pouvez exclure des processus à l’aide de l’une des techniques suivantes :

1. Certificat du signataire : Affinez les exclusions à l’aide de cette méthode, selon laquelle les exécutables signés par la même empreinte de certificat spécifiée seront exclus. Pour obtenir l’empreinte du certificat signataire terminal, utilisez des programmes tels que sigcheck.exe -i. 

   Remarque : Cette méthode ne tient pas compte de la casse, et l’exécutable doit posséder une signature valide.

Exemple : 8870483E0E833965A53F422494F1614F79286851

1. SHA-256 : Les exécutables correspondant à la valeur de hachage SHA-256 seront exclus. Pour récupérer la valeur de hachage d’un exécutable, utilisez des outils comme sigcheck.exe

Remarque : Ceci ne tient pas compte de la casse.

Exemple : b07f4b15a93ee95a7679be7dd3bd4f1399f12a02e826911515de7cef54f7fd1d

1. Chemin de l’exécutable : Il s’agit d’une exclusion large où tout exécutable relevant de ce chemin est pris en compte.

   Remarque : Cette méthode n’est pas recommandée, car un rançongiciel peut se copier à cet emplacement et échapper à la détection.

   Exemple : C:\Windows\system32\notepad.exe

   

2. GLOB (niveau global du binaire) : Implémentez GLOB pour exclure des exécutables en fonction d’un chemin spécifié. Tout exécutable relevant de ce chemin sera exclu. Veillez à l’utiliser avec précaution afin de maintenir la sécurité et d’éviter toute éventuelle évasion par des menaces.

   Exemple : C:\*\*\notepad.exe

   

3. Prise en charge de la ligne de commande : Cela permet l’exclusion sélective d’une ligne de commande spécifique. Le processus créé ou exécuté par cette ligne de commande particulière sera exclu.

   Exemple : cmd.exe /c vssadmin delete shadows /all, 
   cmd.exe /c DeleteBackups.bat

   

Identification du type de comportement pour les exclusions

Lors de l’ajout d’une exclusion à partir de la source de détection Behavior Detection Engine, le type de comportement, une règle d’alerte pour une détection comportementale précise, doit être sélectionné. Suivez les étapes ci-dessous pour identifier le type de comportement :

1. Accédez à Incidents.
2. Cliquez sur l’incident détecté par le Behavior Detection Engine et accédez à l’onglet Alertes.

3. Le type de comportement sera mentionné avec l’alerte.
    

   

4. Le ou les types de comportement fournis peuvent être choisis lors du marquage comme faux positif et de l’ajout de l’incident en tant qu’exclusion.

Exclusion de dossiers de la détection

En outre, il est possible d’exclure des dossiers spécifiques de la détection par le moteur de détection de rançongiciels dans Endpoint Central. Pour exclure un dossier de la détection, suivez ces étapes :

1. Reportez-vous aux étapes indiquées ci-dessus pour créer une stratégie d’exclusion.
2. Attribuez un nom à la stratégie d’exclusion et choisissez la source de détection comme Ransomware Detection Engine ou Exfiltration Detection Engine.
3. Saisissez les détails de l’exclusion.
4. Choisissez l’onglet Dossier(s) autorisé(s) et ajoutez le nom du dossier que vous souhaitez exclure. Chaque nom de dossier doit être fourni séparément sous les dossiers autorisés. Cela peut également être effectué via l’onglet Incidents lors du marquage d’un incident comme faux positif et de son ajout en tant qu’exclusion.