Comment modifier les scores de réputation dans Threat Intelligence Exchange
Articles techniques ID:
KB82922
Date de la dernière modification : 2021-10-22 14:10:40 Etc/GMT
Solution
1
Autoriser une fausse détection déclenchée par une règle TIE
Si vous avez détecté une détection par l’une des règles TIE, vous pouvez modifier la réputation du fichier ou du certificat. Modifiez la réputation en modifiant le fichier ou la réputation du certificat d’un fichier. Cela empêche l’environnement même avant que la détection soit ajoutée aux définitions journalières.
Pour autoriser un fichier, procédez comme suit :
- Dans la console ePolicy Orchestrator (ePO), cliquez sur Menuet sous l' Section systèmes, sélectionnez Réputations TIE.
- Dans le champ recherche de fichiers, saisissez le nom du fichier approprié.
- Sélectionnez le fichier approprié, puis cliquez sur Actions, Fichier approuvé connu.
Si vous devez autoriser un certificat, procédez comme suit :
- Dans la console ePO, cliquez sur Menuet sous l' Section systèmes, sélectionnez Réputations TIE.
- Dans le champ de recherche de certificat, entrez le nom du certificat approprié.
- Sélectionnez le certificat approprié, puis cliquez sur Actions, Certificat approuvé connu.
Solution
2
Bloquer un fichier ou un certificat malveillant potentiel avec des réputations TIE.
Pour bloquer un fichier, procédez comme suit :
- Dans la console ePO, cliquez sur Menuet sous l' Section systèmes, sélectionnez Réputations TIE.
- Dans le champ recherche de fichiers, saisissez le nom du fichier approprié.
- Sélectionnez le fichier approprié, puis cliquez sur Actions, Fichier malveillant connu.
REMARQUES :
- Si le certificat associé au fichier a un réputation approuvée connue, le remplacement ne prend pas effet. La réputation du certificat doit être définie sur Inconnu.
- Marquage d’un certificat à l’aide d’un Contre la réputation ne pas provoque le traitement du fichier comme malveillant dans Endpoint Security. Remplacement de fichier unique de Contre doit également être publié pour tout fichier signé par le certificat que vous souhaitez traiter comme malveillant.
Si vous devez bloquer un certificat, procédez comme suit :
- Dans la console ePO, cliquez sur Menuet sous l' Section systèmes, sélectionnez Réputations TIE.
- Dans le champ de recherche de certificat, entrez le nom du certificat approprié.
- Sélectionnez le certificat approprié, puis cliquez sur Actions, Certificat malveillant connu.
Solution
3
Réinitialiser la réputation des TIEs locales
Si vous avez modifié manuellement l’un des fichiers ou les valeurs de réputation des certificats, vous pouvez les réinitialiser à leurs valeurs actuelles.
Suivez la procédure ci-dessous si vous devez réinitialiser la réputation d’un fichier :
- Dans la console ePO, cliquez sur Menuet sous l' Section systèmes, sélectionnez Réputations TIE.
- Propriétés Remplacements de fichiers, sélectionnez le fichier approprié, puis cliquez sur Actions, Supprimer le remplacement.
Si vous devez réinitialiser la réputation d’un certificat, procédez comme suit :
- Dans la console ePO, cliquez sur Menuet sous l' Section systèmes, sélectionnez Réputations TIE.
- Propriétés Remplacements de certificats, sélectionnez le certificat approprié, puis cliquez sur Actions, Supprimer le remplacement.
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
|