Jeśli nie chcemy, aby EDR generował alert dla tego samego zdarzenia w przyszłości, stosujemy regułę eliminacji.
Reguły polityki w Xcitium Enterprise zostaną wówczas automatycznie zaktualizowane, aby ignorować podobne zdarzenia w przyszłości.
Reguły eliminacji można tworzyć dla określonych alertów, o których wiadomo, że są nieszkodliwe, takich jak znane narzędzia lub procesy w organizacji.
Reguły eliminacji można utworzyć na podstawie istniejącego ostrzeżenia lub wybierając opcję [Add Suppresion Rule] w zakładce Security -> Endpoint Security -> Alerts -> Suppresion Rules.
W oknie Add Alert Suppresion Rule ustalamy kryteria wyjątku:
– User – nazwa użytkownika, z którym powiązane jest zdarzenie
– Device name – nazwa punktu końcowego, z którego zdarzenie zostało zarejestrowane.
– File Directory – ścieżka pliku powiązanego ze zdarzeniem.
– Process Hash – wartość funkcji skrótu procesu związanego ze zdarzeniem (hash musi mieć długość 40 znaków).
W razie potrzeby można je wyłączyć i ponownie włączyć. Po utworzeniu reguły eliminacji zacznie ona obowiązywać od momentu jej utworzenia.
Reguła nie będzie miała wpływu na istniejące alerty znajdujące się w kolejce przed jej utworzeniem.
Reguła zostanie zastosowana tylko do alertów, które spełniają warunki określone po jej utworzeniu.
