一、EDR例外配置位置
1.3.5.30版本前 在EDR控制台,策略中心-信任名单;可以根据不同组下发不同的例外配置策略。 2.3.5.30版本 在EDR控制台,响应中心-排除策略;以全局下发,包括全部终端、系统。
注意:若有需求区分测试环境与业务环境不同策略,建议提需求吧。 二、通配符说明 以3.5.30为主要说明: 1.文件和目录的扫描例外列表支持使用通配符。使用 "?" 字符替换一个字符,使用 "*" 替换多个字符 例如c:\?\1\ 可以表示绝对目录下的模糊匹配,C盘下二级目录下的1目录下的全部子目录与文件都例外
2.结尾无“/”表示文件,有“/”表示目录;但目录不区分“/"与“\”,两者都支持。 3.支持不带盘符添加例外文件,由于例外配置是全局,所以支持LINUX。这样添加例外只对LINUX匹配。 注意:目前例外进程必须添加盘符,现大版本不支持相对路径的通配符,在其它用户场景有针对的小版本支持。 对于没法确定进程存放位置,建议参考下方的例外方式。 三,其它例外方式(以3.5.30为说明) 1.在EDR控制台,响应中心-自定义IOC,添加文件hash。 2.在EDR控制台,响应中心-排队策略-例外后缀,将文件后缀名进行例外。此操作建议评估后再添加。 |