Parfois, le comportement normal d’un utilisateur, dans le cadre de son travail, peut être interprété comme une menace ou une attaque. Cela s’appelle une fausse alerte. Pour éviter de fausses alertes, créez une exception pour ce comportement spécifique.
La fonction d’exceptions vous permet d'éliminer les fausses alertes, de réduire les transferts de données inutiles vers la console et de garantir que les alertes correspondent à des menaces véritables.
Par exemple, lors des procédures de test des agents, un agent reconnaît la signature Outlook – Module exécutable suspect. Cette signature indique que l’application de messagerie électronique Outlook tente de modifier une application en-dehors de son champ d’action et de ses ressources habituels. Ainsi, un événement déclenché par cette signature est la cause d’une alerte, car il est possible qu’Outlook soit en train de modifier une application n’étant généralement pas associée à la messagerie électronique, par exemple Notepad.exe. Dans ce cas, vous pouvez raisonnablement suspecter qu’un cheval de Troie a pénétré le système. Toutefois, si le processus qui a déclenché l’événement est normalement responsable de l’envoi des messages électroniques, par exemple, la sauvegarde d’un fichier avec Outlook.exe, vous devez créer une exception autorisant cette action.
Vous pouvez afficher une liste des exceptions, puis les modifier ou en créer de nouvelles dans l’onglet Exceptions de la boîte de dialogue Règles IPS.