Reglas de excepción

A veces, un comportamiento que se interpretaría como un ataque puede ser una parte normal de la rutina de trabajo de un usuario. Esto se denomina alerta de falso positivo. Para evitar falsos positivos, cree una excepción para el comportamiento en cuestión.

La función de excepciones permite detectar alertas de falsos positivos, minimiza el flujo de datos innecesarios hacia la consola y garantiza que las alertas son amenazas de seguridad legítimas.

Por ejemplo, al realizar pruebas de los agentes, un agente reconoce la firma Outlook Envelope – Module exécutable suspect. Esta firma indica que la aplicación de correo electrónico Outlook está intentando modificar una aplicación fuera del ámbito de recursos habituales de Outlook. Por tanto, un evento activado por esta firma es motivo de alarma, puesto que Outlook puede estar modificando una aplicación que normalmente no está asociada con el correo electrónico, por ejemplo, Notepad.exe. En este caso, tiene razones suficientes para sospechar que se trata de un troyano. No obstante, si el proceso que inicia el evento es responsable normalmente del envío de correo electrónico, por ejemplo, guardar un archivo con Outlook.exe, debe crear una excepción que permita esta acción.

Puede ver una lista de excepciones y crearlas y modificarlas en la ficha Excepciones del cuadro de diálogo Reglas IPS.

Copyright © 2005 McAfee, Inc. Reservados todos los derechos.