Ausnahmeregeln

Es kann vorkommen, dass Verhaltensweisen, die normalerweise als Angriff interpretiert würden, zum normalen Arbeitsablauf eines Benutzers gehören. Diese Situation wird als Falsch-Positiv-Warnung bezeichnet. Um Falsch-Positiv-Warnungen zu vermeiden, können Sie eine Ausnahme für dieses Verhalten erstellen.

Mit der Ausnahmenfunktion sondern Sie Falsch-Positiv-Warnungen aus, minimieren unnötige Datenübertragungen an die Konsole und stellen sicher, dass sich Warnungen auf echte Sicherheitsbedrohungen beziehen.

Beispiel: Während des Testens von Agenten erkennt ein Agent die Signatur Outlook Envelope – Verdächtiger Ausführungsmod. Diese Signatur signalisiert, dass die E-Mail-Anwendung Outlook versucht, eine Anwendung außerhalb des üblichen Ressourcenbereichs für Outlook zu ändern. Daher verursacht ein durch diese Signatur ausgelöstes Ereignis einen Alarm, da die Möglichkeit besteht, dass Outlook eine Anwendung ändert, die üblicherweise nicht mit E-Mail-Vorgängen verbunden ist, wie z. B. Notepad.exe. In diesem Fall liegt der Verdacht nahe, dass ein Trojaner eingedrungen ist. Wenn der das Ereignis initiierende Prozess jedoch normalerweise für das Senden von E-Mails verantwortlich ist (um beispielsweise eine Datei mit Outlook.exe zu speichern), dann müssen Sie eine Ausnahme erstellen, die diese Aktion zulässt.

Im Dialogfeld IPS-Regeln können Sie auf der Registerkarte Ausnahmen eine Liste der Ausnahmen anzeigen sowie Ausnahmen erstellen und ändern.

Copyright © 2005 McAfee, Inc. Alle Rechte vorbehalten.