#2022争霸赛*干货满满#EDR--进程/文件例外配置简介

一、EDR例外配置位置

1.3.5.30版本前

在EDR控制台，策略中心-信任名单；可以根据不同组下发不同的例外配置策略。

2.3.5.30版本

在EDR控制台，响应中心-排除策略；以全局下发，包括全部终端、系统。

注意：若有需求区分测试环境与业务环境不同策略，建议提需求吧。

二、通配符说明

以3.5.30为主要说明：

1.文件和目录的扫描例外列表支持使用通配符。使用 "?" 字符替换一个字符，使用 "*" 替换多个字符

例如c:\?\1\ 可以表示绝对目录下的模糊匹配，C盘下二级目录下的1目录下的全部子目录与文件都例外

2.结尾无“/”表示文件，有“/”表示目录；但目录不区分“/"与“\”，两者都支持。

3.支持不带盘符添加例外文件，由于例外配置是全局，所以支持LINUX。这样添加例外只对LINUX匹配。

注意：目前例外进程必须添加盘符，现大版本不支持相对路径的通配符，在其它用户场景有针对的小版本支持。

对于没法确定进程存放位置，建议参考下方的例外方式。

三，其它例外方式（以3.5.30为说明）

1.在EDR控制台，响应中心-自定义IOC，添加文件hash。

2.在EDR控制台，响应中心-排队策略-例外后缀，将文件后缀名进行例外。此操作建议评估后再添加。

专家点评：感谢楼主分享！文章介绍了edr信任名单的配置案例，并结合了通配符的讲解用法，内容详细，图文并茂，很有借鉴价值。期待楼主后续带来更多有价值的分享～

不错，不错，值得学习

干货满满！！下次遇到这种环境就不怕啦

都是经验之谈，收获满满，好评！

每天学习一点，每天进步一点。

干货满满！！下次遇到这种环境就不怕啦

感谢分享。学习学习。

很好很好很好                     

感谢分享，学习一下。