La "règle de vérification exécutable" est ajoutée en interne à firecore lorsque la fonctionnalité "bloquer tous les fichiers exécutables non approuvés" est activée. La fonctionnalité "bloquer tous les fichiers exécutables non approuvés" bloque tous les fichiers exécutables qui ne sont pas signés ou dont la réputation global Threat Intelligence inconnue (GTI). La règle de vérification des "exécutables" règle est déclenchée lorsqu’un fichier exécutable qui effectue la communication réseau est démarré. Il valide le certificat du signataire et obtient la réputation du fichier exécutable.
Remarque : Assurez-vous que le serveur GTI est accessible. Pour obtenir des instructions, consultez l’article :
KB53733-Vérifiez que la réputation des fichiers GTI est installée et que les terminaux peuvent communiquer avec le serveur GTI. Si le serveur GTI n’est pas accessible, le "bloquer tous les fichiers exécutables non approuvés" fonctionnalité ne bloque pas les application.
Lorsque cette règle est déclenchée, vous voyez des correspondances similaires à ce qui suit dans
FirewallEventMonitor.log :
Time: xxx
Event: Traffic
IP Address: x.x.x.x
Description: xxx
Path: xxx
Message: xxx
Matched Rule: Executable verification Rule