En este artículo se proporcionan directrices sobre cómo crear exclusiones de archivos y directorios con ENSLTP.
Configure exclusiones para los equipos gestionados de ePolicy Orchestrator (ePO) siguiendo los pasos que se indican a continuación:
- Inicie sesión en la consola de ePO.
- Haga clic en menú, DirectivaCatálogo de directivas.
- Seleccione Endpoint Security prevención de amenazas en la lista desplegable producto.
- Seleccione análisis en tiempo real en la lista desplegable Categoría.
- Haga clic en el nombre de la directiva.
- Haga clic en Mostrar avanzadas.
- Vaya a la sección configuración del proceso , lista de exclusiones .
Cuando se configuran exclusiones por nombre de archivo y ruta, se utilizan tres tipos de símbolos de exclusión de caracteres comodín en ENSLTP:
- Asterisco único: * : se utiliza para representar nombres de archivo parciales o extensiones con uno o varios caracteres de la posición exacta en la que se coloca en la ruta o el archivo especificados.
- Doble asterisco: * * : se utiliza generalmente para nombres de archivo parciales o extensiones con uno o varios caracteres de la posición exacta en la que se coloca en la ruta o el archivo especificados.
- Signo de interrogación de cierre:? : Se utiliza para la sustitución de un carácter individual en los nombres de archivo y de directorio. Este carácter comodín ofrece más control sobre las exclusiones.
Cuando se establecen exclusiones por tipo de archivo, solo se puede utilizar el símbolo de exclusión de caracteres comodín de signo de interrogación en ENSLTP:
- Signo de interrogación de cierre:? : Se utiliza para la sustitución de carácter único en cadenas de tipo de archivo. Este carácter comodín ofrece más control sobre las exclusiones.
En las secciones siguientes se explica cómo utilizar estos caracteres comodín correctamente.
Asterisco único para las exclusiones de nombre de archivo o ruta
Para indicar nombres de directorios únicos, utilice un único carácter comodín de asterisco (
*). Por ejemplo, la exclusión
/data/*/sub/ excluye las siguientes carpetas:
/data/1/sub/
/data/name2/sub/
/data/backup/sub/
Para indicar coincidencias parciales de nombres de archivos o coincidencias de extensiones de caracteres comodín, utilice un solo carácter comodín de asterisco (
*). Por ejemplo:
/data/abc*.raw
/data/abc.*
Nota: No utilice barras diagonales inversas al final para las coincidencias de nombre de archivo. al hacerlo, se excluyen los elementos incorrectos. Para aclarar este punto importante, examine los dos ejemplos siguientes:
La primera exclusión se trata como un nombre de archivo y la segunda se trata como un directorio.
Cuando se implementa la Directiva en el sistema, el comando local muestra lo siguiente para los ejemplos anteriores:
ENSLTP 10.6.6 y posteriores:
# /opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --exclusionlist --profile standard
ENSLTP 10.6.5 y versiones anteriores:
# /opt/isec/ens/threatprevention/bin/isecav --getoasconfig --exclusionlist --profile standard
Index Item Exclude Subfolder When to exclude
1 /data/*/sub/ Disabled readandwrite
2 /data/def/ Disabled readandwrite
3 /data/abc Not Applicable readandwrite
El resultado es que "excluir subcarpeta" muestra como "no" aplicable al elemento
/data/abc (index 3) de exclusión, ya que se especifica sin barras diagonales inversas al final. Por lo tanto, el elemento se considera una ruta de archivo.
Doble asterisco para exclusiones de directorio
Los asteriscos dobles (* *) permiten una exclusión de directorios más amplia denominada exclusión de varias profundidades. Estas exclusiones son donde pueden aparecer varias veces el mismo nombre de carpeta de destino en los subdirectorios que se originan en un directorio común.
Por ejemplo, puede existir un directorio llamado "cache" en uno o varios subdirectorios de cualquier nivel del
/data Directorio:
/data/user/tom/cache/
/data/user/jim/cache/
/data/admin/cache/
/data/user/family/a1/b2/cache/
El siguiente ejemplo utiliza un asterisco doble para excluir el contenido de cualquier directorio denominado cache en el
/data Directorio:
Cuando se implementa la Directiva en el sistema, el comando local muestra lo siguiente en el ejemplo anterior para el elemento
/data/**/cache/ de exclusión (Índice 1):
ENSLTP 10.6.6 y posteriores:
# /opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --exclusionlist --profile standard
ENSLTP 10.6.5 y versiones anteriores:
# /opt/isec/ens/threatprevention/bin/isecav --getoasconfig --exclusionlist --profile standard
Index Item Exclude Subfolder When to exclude
1 /data/**/cache/ Disabled readandwrite
2 /data/*/sub/ Disabled readandwrite
3 /data/def/ Disabled readandwrite
4 /data/abc Not Applicable readandwrite
Signo de interrogación para las exclusiones de tipo de archivo
Utilice un carácter comodín de signo de interrogación para indicar la sustitución de un solo carácter en cadenas de tipo de archivo. Por ejemplo, puede utilizar el carácter comodín de marca de interrogación para cualquiera de los tres caracteres siguientes:
Cuando se implementa la Directiva en el sistema, el comando local muestra lo siguiente en el ejemplo anterior correspondiente al elemento
A?C de exclusión (índice 6):
ENSLTP 10.6.6 y posteriores:
# /opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --exclusionlist --profile standard
ENSLTP 10.6.5 y versiones anteriores:
# /opt/isec/ens/threatprevention/bin/isecav --getoasconfig --exclusionlist --profile standard
Index Item Exclude Subfolder When to exclude
1 /data/**/cache/ Disabled readandwrite
2 /data/*/sub/ Disabled readandwrite
3 /data/def/ Disabled readandwrite
4 /data/abc Not Applicable readandwrite
5 /data/time-? Not Applicable readandwrite
6 A?C