本文適用於以下產品:WithSecure Endpoint Detection and Response ( EDR)
說明:
WithSecure EDR的抑制規則(Suppression Rules)主要功能是自動關閉那些被識別為「可接受行為」的偵測,減少不必要的警示,可以理解為EDR的白名單,此KB說明如何進行設定。
常見可能觸發EDR警示的可接受行為如下:
內部程式或腳本:企業內部使用的自製程式或自動化腳本。
IT管理工具(遠端工具等) : IT的管理行為也常被認定為惡意行為。
軟體安裝或更新:某些合法軟體安裝或更新過程可能會修改系統檔案或註冊表。
滲透測試:滲透測試工具的行為通常會被認定為惡意行為。
- 提醒:確定是誤判或確定是可忽略的事件再進行此設定,否則都不建議新增抑制規則。
- 點選雲端中控台的寬泛內容偵測,選取要新增為抑制規則的事件。
- 在該事件左上角的狀態欄位,選取已關閉>已接受狀況。
- 點選已接受狀況後會觸發對話框詢問是否建立抑制規則,選擇建立。
- 進入規則建立頁面後步驟一,選擇此規則屬於哪種類型。
- 步驟二,設定規則的條件參數,以下圖為例說明。
當偵測到「Evil winrm client」即觸發此規則,如果處理序內同時符合以下五個的上下文條件時,忽略此事件並停止發出警示。被啟用的條件需全數符合才會觸發,例如該處理序名稱是notepad.exe但處理序路徑不同時,此規則不會觸發。
- 步驟二,為此規則添加註解後即可下一步。
- 步驟三和步驟四,確認內容無誤後建立規則。
- 規則建立後可在「抑制規則」區塊的查看已啟用的規則。
