Lors de la procédure de test des agents, il est possible que certains agents reconnaissent la signature d’accès à la messagerie électronique. Dans certaines circonstances, un événement déclenché par cette signature est la cause d’une alerte. Des pirates peuvent installer des applications de cheval de Troie utilisant le Port 25 TCP/IP généralement réservé aux applications de messagerie électronique, et cette action serait alors détectée par la signature affectée à l’activité du Port 25 TCP/IP (SMTP). D’un autre côté, un trafic normal de courrier électronique peut également correspondre à cette signature. Lorsque cette signature est activée, examinez en détail le processus qui a déclenché l’événement. Si ce processus n’est pas habituellement associé à la messagerie électronique, par exemple Notepad.exe, vous pouvez raisonnablement suspecter l’implantation d’un cheval de Troie. Si le processus qui a déclenché l’événement est habituellement responsable de l’envoi des courriers électroniques (Eudora, Netscape, Outlook), créez une exception pour cet événement.
Il est également possible qu’un certain nombre d’agents déclenchent une signature de programmes de démarrage, ce qui indique soit une modification soit la création d’une valeur dans les clés de registre :
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce
Étant donné que les valeurs stockées dans ces clés indiquent des programmes lancés au démarrage de l’ordinateur, l’activation de cette signature peut indiquer que quelqu’un tente d’altérer votre système. Cela peut également vouloir dire tout simplement que l’un des employés de la société est en train d’installer RealAudio sur son ordinateur. L’installation de RealAudio ajoute en effet la valeur RealTray à la clé de registre Run.
Pour éliminer les événements déclenchés à chaque fois que quelqu’un installe un logiciel autorisé, vous pouvez créer des exceptions pour ces événements. L’agent ne générera plus d’événement pour ces installations autorisées.
Pour créer une exception sur la base d’un événement :
Une boîte de dialogue pré-renseignée Nouvelle exception s’affiche.
Pour créer une application sécurisée sur la base d’un événement :
Une boîte de dialogue pré-renseignée Nouvelle application sécurisée s’affiche.