Scénario 2 - Utilisez la stratégie
Processus à
faible risque pour implémenter une exclusion. Nous utilisons ce
Agent.exe processus comme exemple de processus qui effectue de nombreuses actions d’ÉCRITURE d’E/S de fichiers vers un dossier
C:\Temp couramment utilisé sur les ordinateurs clients.
Avec uniquement la stratégie
Processuspar défaut en cours d’utilisation:
- Le Agent.exe processus écrit un fichier dans C:\Temp.
- ENS analyse le fichier.
- Écrit Agent.exe plus de données dans le même fichier dans C:\Temp.
- ENS analyse à nouveau le fichier.
ENS analyse chaque écriture de fichier car il est nouveau ou a été modifié. Cette analyse est effectuée pour chaque modification apportée au fichier d’origine et pour tous les fichiers nouvellement créés.
L’activité générée par ce processus peut entraîner l’utilisation de analyseur de grandes quantités de ressources système. Cela s’explique par le nombre d’analyses nécessaires pour chaque fichier.
Ajouté
Agent.exe à la stratégie
des processus à faible risque :
Vous pouvez ajouter le
Agent.exe processus aux
processus à faible risque pour atténuer les problèmes de performances. Il existe plusieurs méthodes possibles:
- Exclure C:\Temp des opérations d’ÉCRITURE.
- Exclure C:\Temp\**.TMP des opérations d’ÉCRITURE.
- Exclure les .TMP fichiers.
La solution qui crée le moins de risques est d’exclure
C:\Temp\**.TMP des opérations d’ÉCRITURE. Excluez
.TMP uniquement les fichiers trouvés dans le dossier de l’analyse
C:\Temp lorsqu’ils sont en cours d’écriture sur le disque avec
Agent.exe.
Quels risques ce scénario comporte-t-il?
Il est possible pour une menace inconnue avec un processus nommé Agent.exe d’écrire ou de modifier .TMP des fichiers dans le C:\Temp dossier et d’éviter d’être analysé.
Risque 1 - En supposant qu’il existe un virus/cheval de Troie avec un fichier exécutable nommé Agent.exe:
- Tout d’abord, il faudrait que le virus/cheval de Troie soit écrit sur le disque. S’il est écrit sur le disque:
- ENS détecte l’écriture sur le disque si les fichiers DAT incluent une détection de la menace.
- ENS refuse la création du fichier si la méthode utilisée pour créer ce fichier viole une règle de protection de l’accès.
- Il faudrait que le fichier soit exécuté (ou lu) pour pouvoir se propager et envoyer sa charge active. S’il est exécuté:
- ENS détecte l’exécution si les fichiers DAT incluent la détection de la menace.
- ENS refuse l’exécution du fichier si la méthode utilisée pour démarrer le fichier viole une règle de protection de l’accès.
NOTE: De même si des stratégies de processus à faible risque sont utilisées, il existe plusieurs couches de protection contre les fichiers potentiellement infectés.
- Le virus/cheval de Troie s’exécute Agent.exe désormais. Il tente d’écrire .JPG et .DOC de fichiers dans le C:\Temp dossier.
- ENS détecte l’exécution si les fichiers DAT incluent la détection de la menace. La exclusion ne concerne que les fichiers écrits .TMP dans le dossier.
- ENS refuse l’ÉCRITURE du fichier si une règle de protection de l’accès existe pour ce comportement.
NOTE: Le virus/cheval de Troie s’est exécuté et peut être exécuté en mémoire. Cependant, ses activités peuvent toujours être interrompues lorsque les fichiers DAT sont mis à jour ou en mettant en œuvre une nouvelle règle de protection de l’accès. Lorsque les fichiers DAT sont mis à jour et que ce virus/cheval de Troie est détecté, il est supprimé de la mémoire dans le cadre du processus de nettoyage.
Risque 2 - Une action DE LECTURE se produit pour exécuter le fichier infecté:
- ENS détecte cette exécution si les fichiers DAT incluent la détection de la menace. Les actions LIRE ne sont pas exclues.
- ENS refuse la lecture si une règle de protection de l’accès existe pour ce comportement.
IMPORTANT: L’utilisation des stratégies des processus à haut
risque/à faible risque comporte certains risques. En règle générale, le risque est faible et vous devez l’évaluer au cas par cas. Pour obtenir de meilleures performances du produit, vous devez déterminer le degré de risque acceptable.