[KB8318] - Créer des exclusions dans ESET Inspect et ESET Inspect On-Prem
Problème
- Ajouter des exclusions dans ESET Inspect ou ESET Inspect On-Prem
- Ajouter un événement déclencheur (Trigger Event)
- Injection dans un processus de confiance ou processus système
- Processus de confiance ayant chargé une DLL suspecte
- Ajouter un processus parent
Détails
- Lorsqu’un processus s’injecte dans un processus système ou de confiance, ESET Inspect ou ESET Inspect On-Prem renvoie une détection. Cela peut générer de nombreux faux positifs. Pour les éviter, créez une exclusion incluant le processus tentant l’injection dans le processus système ou de confiance.
- Pour plus d’informations sur la syntaxe XML et les règles, consultez le guide des règles ESET Inspect. ESET propose des services de sécurité pour ESET Inspect. Contactez votre représentant commercial pour plus d’assistance.
Solution
- ESET propose divers packs de services de sécurité et un support complémentaire pour ces produits. Le support pour ESET Inspect On-Prem et ESET Inspect est limité. La gestion des règles ou exclusions n’est pas incluse sans un pack de service ESET Security. Contactez un représentant commercial pour une assistance complémentaire.
Ajouter un événement déclencheur (Trigger Event)
- Connectez-vous à ESET Inspect (ou ouvrez la console web pour ESET Inspect On-Prem).
- Cliquez sur Détections, ouvrez le menu déroulant à côté de Détections et sélectionnez Règles. Cliquez sur l’icône en forme d’engrenage sous le bouton Protéger.
- Sélectionnez Sélectionner les colonnes.
Tapez 'Trigger' dans le champ de recherche rapide et cochez la case à côté de 'Trigger Event'.
Injection dans un processus de confiance ou système
Cliquez sur Détections → Règles → Développez la règle pour voir toutes les détections
Filtrez par nom d’exécutable et appuyez sur Entrée. Faites défiler pour voir le nom complet de l’événement déclencheur.
Cochez la case à côté de la détection.
Cliquez sur Créer une exclusion. Donnez un nom, cliquez sur Critères, vérifiez les champs, puis cliquez sur Éditeur avancé.
Ajoutez le code suivant dans l’expression d’exclusion :
<operations>
<operation type="Codeinjection">
<operator type="and">
<condition component="FileItem" property="FullPath" condition="is" value=""/> </operator>
</operation>
</operations>
Processus de confiance ayant chargé une DLL suspecte
- Effectuez les mêmes étapes que précédemment (1 à 6). Vérifiez les critères requis, cliquez sur Éditeur avancé.
- Ajoutez le code suivant dans l’expression d’exclusion :
- <operations> <operation type="LoadDLL"> <operator type="and"> <condition component="FileItem" property="FullPath" condition="is" value=""/> </operator> </operation> </operations>
Ajouter un processus parent
- Créez une exclusion initiale comme précédemment.
- Ouvrez une nouvelle instance d’ESET Inspect et cliquez sur Critères → Processus parent. Sélectionnez les options nécessaires, puis cliquez sur Éditeur avancé.
Copiez l’expression entre <parentprocess> et </parentprocess>.
Revenez à l’exclusion initiale et collez l’élément <parentprocess> au-dessus de <process>.