De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft wat de uitsluitingen zijn, hoe u uitsluitingen kunt identificeren en wat de beste praktijken zijn voor het maken van uitsluitingen op het beveiligde Cisco-endpoint.
De informatie in dit document is gebaseerd op Windows-, Linux- en macOS-besturingssystemen.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Na het lezen van dit document, moet u begrijpen:
Een uitsluitingsset is een lijst met directory's, bestandsextensies, bestandspaden, processen, bedreigingsnamen, toepassingen of compromitterende indicatoren die u niet wilt dat de connector scant of veroordeelt. Uitsluitingen moeten zorgvuldig worden gemaakt om een balans te verzekeren tussen prestaties en beveiliging op een machine wanneer endpointbescherming zoals Secure Endpoint is ingeschakeld. Dit artikel beschrijft uitsluitingen voor Secure Endpoint Cloud, TETRA, SPP en MAP.
Ieder milieu is uniek, evenals de entiteit die het controleert, variërend van streng tot open beleid. Uitsluitingen moeten daarom op de situatie toegesneden zijn.
Uitsluitingen kunnen op twee manieren worden gecategoriseerd, namelijk door Cisco onderhouden uitsluitingen en aangepaste uitsluitingen.
Uitsluitingen met Cisco-onderhoud zijn uitsluitingen die zijn gemaakt op basis van onderzoek en die rigoureuze tests hebben ondergaan op veel gebruikte besturingssystemen, programma's en andere beveiligingssoftware. Deze uitsluitingen kunnen worden weergegeven door de optie Door Cisco onderhouden uitsluitingen
te selecteren in de Secure Endpoint Console op de pagina Uitsluitingen
.
Cisco bewaakt de aanbevolen uitsluitingslijsten die door antivirusleveranciers zijn gepubliceerd en werkt de door Cisco onderhouden uitsluitingen bij zodat deze de aanbevolen uitsluitingen bevatten.
Opmerking: sommige AV-leveranciers mogen hun aanbevolen uitsluitingen niet publiceren. In dit geval kan het nodig zijn dat de klant contact opneemt met de AV-leverancier om een lijst met aanbevolen uitsluitingen aan te vragen en vervolgens een ondersteuningscase te openen om de door Cisco onderhouden uitsluitingen te laten bijwerken.
Aangepaste uitsluitingen zijn uitsluitingen die door een gebruiker zijn gemaakt voor een aangepaste use case op een endpoint. Deze uitsluitingen kunnen worden weergegeven door Aangepaste uitsluitingen
te selecteren in de Beveiligde Endpoint Console op de pagina Uitsluitingen
.
Procesuitsluitingen stellen beheerders in staat om processen van ondersteunde motoren uit te sluiten. De motoren die Procesuitsluitingen op elk platform ondersteunen worden in de volgende tabel beschreven:
Besturingssysteem | Motor | |||
Bestanden scannen | Bescherming van systeemprocessen | Bescherming tegen kwaadaardige activiteiten | gedragsbescherming | |
Windows | ✓ | ✓ | ✓ | ✓ |
Linux | ✓ | ✗ | ✗ | ✓ |
macOS | ✓ | ✗ | ✗ | ✓ |
U moet een absoluut pad opgeven bij het maken van een Procesuitsluiting. U kunt ook een optionele gebruiker opgeven. Als u zowel een pad als een gebruiker opgeeft, moet aan beide voorwaarden zijn voldaan om het proces te kunnen uitsluiten. Als u geen gebruiker opgeeft, geldt de Procesuitsluiting voor alle gebruikers.
Opmerking: op macOS en Linux zijn procesuitsluitingen van toepassing op alle motoren.
Verwerkingsjokerteken:
Secure Endpoint Linux- en macOS-connectors ondersteunen het gebruik van een jokerteken binnen de Procesuitsluiting. Dit maakt een bredere dekking mogelijk met minder uitsluitingen, maar kan ook gevaarlijk zijn als te veel ongedefinieerd blijft. U mag de jokerteken alleen gebruiken om het minimum aantal tekens te dekken dat nodig is om de gewenste uitsluiting op te geven.
Gebruik van Proces Wildcard voor macOS en Linux:
Voorbeelden:
Uitsluiting | Verwacht resultaat |
/Bibliotheek/Java/JavaVirtualMachines/*/java |
Sluit java uit in alle submappen van JavaVirtualMachines |
/Library/Jibber/j*bber |
Sluit het proces voor jabber , jibber , jobber , etc uit |
U kunt een absoluut pad en/of een SHA-256 van het uitvoerbare proces opgeven bij het maken van een Proces-uitsluiting. Als u zowel een pad als SHA-256 opgeeft, moet aan beide voorwaarden zijn voldaan om het proces te kunnen uitsluiten.
In Windows kunt u de CSIDL of KNOWNFOLDERID ook gebruiken binnen het pad om Procesuitsluitingen te maken.
Waarschuwing: Kinderprocessen die door een uitgesloten proces worden gecreëerd, zijn niet uitgesloten. Als u extra processen wilt uitsluiten bij het maken van een Procesuitsluiting, selecteert u Toepassen op Kinderproces
.
Beperkingen:
policy.xml
.sfc.exe
, die telt tegen de procesuitsluitingslimiet: <item>3|0||CSIDL_Secure Endpoint_VERSION\sfc.exe|48|</item>
Opmerking: op Windows worden procesuitsluitingen per motor toegepast. Als dezelfde uitsluiting moet worden toegepast op meerdere motoren, moet de procesuitsluiting in dit geval voor elke toepasselijke motor worden gedupliceerd.
Verwerkingsjokerteken:
Secure Endpoint Windows-connectors ondersteunen het gebruik van een jokerteken binnen de uitsluiting van het proces. Dit maakt een bredere dekking mogelijk met minder uitsluitingen, maar kan ook gevaarlijk zijn als te veel ongedefinieerd blijft. U mag de jokerteken alleen gebruiken om het minimum aantal tekens te dekken dat nodig is om de gewenste uitsluiting op te geven.
Gebruik van Proces Wildcard voor Windows:
Voorbeelden:
Uitsluiting | Verwacht resultaat |
C:\Windows\*\Tiworker.exe |
Sluit alle processen van Tiworker.exe die in de submappen van Windows gevonden worden uit |
C:\Windows\P*t.exe |
Exclusief Pot.exe , Pat.exe , P1t.exe , enz |
C:\Windows\*chickens.exe |
Sluit alle processen in Windows directory eindigend in chickens.exe uit |
C:\* |
Sluit alle processen in het C: -station uit, maar niet in de submappen |
C:\** |
Sluit elk proces op de C: -drive uit |
De uitsluitingen van bedreigingen laten u een bepaalde bedreigingsnaam van het teweegbrengen van gebeurtenissen uitsluiten. U mag alleen ooit een uitsluiting van een bedreiging gebruiken als u zeker weet dat de gebeurtenissen het resultaat zijn van een fout-positieve detectie. Gebruik in dit geval de exacte bedreigingsnaam van de gebeurtenis als uw uitsluiting van bedreigingen. Houd in acht dat als u dit type uitsluiting gebruikt, zelfs een waarheidspositieve detectie van de bedreigingsnaam niet zal worden gedetecteerd, in quarantaine geplaatst of een gebeurtenis zal genereren.
Opmerking: uitsluiting van bedreigingen is hoofdlettergevoelig. Voorbeeld: W32.Zombies.NotAVirus en w32.zombies.notavirus
hebben beide dezelfde bedreigingsnaam.
Waarschuwing: sluit bedreigingen niet uit, tenzij een grondig onderzoek heeft bevestigd dat de bedreigingsnaam vals-positief is. Uitgesloten bedreigingen vullen het tabblad gebeurtenissen niet meer voor review en audit.
Path-uitsluitingen worden het meest gebruikt, omdat toepassingsconflicten doorgaans de uitsluiting van een directory met zich meebrengen. U kunt een uitsluiting van een pad maken met behulp van een absoluut pad. In Windows kunt u ook CSIDIL of KNOWNFOLDERID gebruiken om paduitsluitingen te maken.
Als u bijvoorbeeld een AV-toepassing in de map Program Files
op Windows wilt uitsluiten, kan het uitsluitingspad een van de volgende zijn:
C:\Program Files\MyAntivirusAppDirectory
CSIDL_PROGRAM_FILES\MyAntivirusAppDirectory
FOLDERID_ProgramFiles\MyAntivirusAppDirectory
Opmerking: Path Exclusions zijn recursief en sluiten alle subdirectory's ook uit.
Als de uitsluiting pad niet voorziet in een schuine streep, dan doet de Windows-connector een gedeeltelijke overeenkomst op paden. Mac en Linux ondersteunen geen partiële padovereenkomsten.
Als u bijvoorbeeld de volgende Path-uitsluitingen op Windows toepast:
C:\Program Files
C:\test
Vervolgens worden alle volgende paden uitgesloten:
C:\Program Files
C:\Program Files (x86)
C:\test
C:\test123
Door de uitsluiting van "C:\test"
te wijzigen in "C:\test\"
, wordt voorkomen dat "C:\test123"
wordt uitgesloten.
Uitsluitingen voor bestandsuitbreiding maken het mogelijk om alle bestanden met een bepaalde extensie uit te sluiten.
Belangrijkste punten:
.extension
U kunt bijvoorbeeld de volgende uitsluiting maken om alle Microsoft Access-databasebestanden uit te sluiten:
.MDB
Opmerking: de standaard bestandsextensie uitsluitingen zijn beschikbaar in de standaardlijst en het wordt niet aangeraden om deze uitsluitingen te verwijderen, dit kan prestatiewijzigingen op uw eindpunt veroorzaken.
De uitsluitingen van jokertekens zijn hetzelfde als de uitsluitingen van Path of File Extension, behalve dat u een sterretje (*) kunt gebruiken om een jokerteken binnen het pad of de extensie te vertegenwoordigen.
Als u bijvoorbeeld de virtuele machines op macOS niet wilt scannen, kunt u deze uitsluiting van pad invoeren:
/Users/johndoe/Documents/Virtual Machines/
Deze uitsluiting werkt echter maar voor één gebruiker. Vervang in plaats daarvan de gebruikersnaam in het pad door een asterisk en creëer een uitsluiting met jokerteken om deze map voor alle gebruikers uit te sluiten:
/Users/*/Documents/Virtual Machines/
Waarschuwing: uitsluiting van jokerteken stopt niet bij padscheidingstekens, dit kan leiden tot onbedoelde uitsluitingen. BijvoorbeeldC:\*\test sluitC:\sample\test
en C:\1\test** ofC:\sample\test123 uit
.
Waarschuwing: het beginnen van een uitsluiting met een sterretje kan ernstige problemen met de prestaties tot gevolg hebben. Verwijder of wijzig alle uitsluitingen die met een sterretje beginnen om de CPU-impact te beperken.
Wanneer u in Windows een uitsluiting van een jokerteken maakt, is er een optie om deze toe te passen op alle stationsletters
. Als u deze optie selecteert, wordt de uitsluiting met jokerteken toegepast op alle gemonteerde stations.
Als je handmatig dezelfde uitsluiting zou moeten maken moet je het met ^[A-Za-z]
voorspellen, bijvoorbeeld:
^[A-Za-z]\testpath
In beide voorbeelden worden de C:\testpath en D:\testpath uitgesloten.
De Secure Endpoint Console genereert automatisch de ^[A-Z-z]
wanneer Toepassen op alle stationsletters
is geselecteerd voor uitsluiting van jokertekens.
Uitvoerbare uitsluitingen zijn alleen van toepassing op Windows-connectors met Exploit Prevention enabled. Een uitvoerbare uitsluiting sluit uit dat bepaalde uitvoerbare goederen worden beschermd door Exploit Prevention. U dient een uitvoerbaar bestand alleen uit te sluiten van Exploit Prevention als u problemen of prestatieproblemen ondervindt.
U kunt de lijst met beschermde processen controleren en ze van bescherming uitsluiten door de uitvoerbare naam ervan op te geven in het veld Uitsluiting toepassing. De uitvoerbare uitsluitingen moeten de uitvoerbare naam precies in het formaat name.exe
aanpassen. jokertekens worden niet ondersteund.
Opmerking: alleen toepassingen kunnen worden uitgesloten met behulp van uitvoerbare uitsluitingen via Secure Endpoint Console. Om het even welke uitsluitingen met betrekking tot DLLs vereisen openend een steungeval voor een uitsluiting worden tot stand gebracht.
Het vinden van de juiste uitsluitingen voor Exploit Prevention is een veel intensiever proces dan elk ander uitsluitingstype en vereist uitgebreide tests om schadelijke beveiligingsgaten te minimaliseren.
Met IOC-uitsluitingen kunt u Cloud Indications of Compromiser uitsluiten. Dit kan handig zijn als u een aangepaste of interne toepassing hebt die mogelijk niet is ondertekend en waardoor bepaalde IOC's vaak worden geactiveerd. Secure Endpoint Console biedt een lijst met indicatoren waaruit u kunt kiezen voor IOC-uitsluitingen. U kunt via een vervolgkeuzelijst selecteren welke indicatielampjes u wilt uitsluiten:
Opmerking: als u een hoge of kritieke IOC uitsluit, verliest u de zichtbaarheid en kan u uw organisatie in gevaar brengen. U dient deze IOC's alleen uit te sluiten als u daar een groot aantal fout-positieve waarderingen voor ondervindt.
De waarden van CSIDL en KNOWNFOLDERID worden geaccepteerd en aangemoedigd bij het schrijven van pad- en procesuitsluitingen voor Windows. De waarden van CSIDL/KNOWNFOLDERID zijn nuttig om proces en weguitsluitingen voor milieu's tot stand te brengen die afwisselende aandrijvingsbrieven gebruiken.
Er zijn beperkingen waarmee rekening moet worden gehouden bij het gebruik van CSIDL/KNOWNFOLDERID. Als uw omgeving programma's op meer dan één stationsaanduiding installeert, verwijst de waarde CSIDL/KNOWNFOLDERID alleen naar het station dat als de standaardlocatie of bekende installatielocatie is gemarkeerd.
Als het besturingssysteem bijvoorbeeld is geïnstalleerd op C:\
, maar het installatiepad voor Microsoft SQL handmatig is gewijzigd in D:\
, is de uitsluiting op basis van CSIDL/KNOWNFOLDERID in de lijst van aangehouden uitsluitingen niet van toepassing op dat pad. Dit betekent dat er één uitsluiting moet worden ingevoerd voor elke pad- of procesuitsluiting die niet op het C:\-
station staat, omdat het gebruik van CSIDL/KNOWNFOLDERID deze niet in kaart brengt.
Raadpleeg de volgende Windows-documentatie voor meer informatie:
Opmerking: KNOWNFOLDERID wordt alleen ondersteund in Windows-connector 8.1.7 en hoger. Eerdere versies van de Windows-connector gebruiken CSIDL-waarden.
Opmerking: de bekende mappen-id waarden zijn hoofdlettergevoelig. U moet bijvoorbeeld de waardeFOLDERID_ProgramFiles
gebruiken en niet de ongeldige waardeFolderID_programfiles
.
Om de aansluiting voor te bereiden op exclusieve afstemming, moet u:
Raadpleeg de volgende documenten voor instructies over het inschakelen van de Debug Mode en het verzamelen van diagnostische gegevens op verschillende besturingssystemen:
De diagnostische gegevens die in de Debug-modus zijn gegenereerd, bieden twee bestanden die handig zijn voor het maken van uitsluitingen: fileops.txt en execs.txt. Het bestand fileops.txt is handig om Uitsluitingen pad/bestandsuitbreiding/jokerteken te maken en het bestand execs.txt is handig om Uitsluitingen proces te maken.
Het bestand execs.txt toont de uitvoerbare paden die Secure Endpoint hebben geactiveerd om een bestandsscan uit te voeren. Elk pad heeft een bijbehorende telling die aangeeft hoe vaak het gescand is en de lijst in aflopende volgorde gesorteerd wordt. U kunt deze lijst gebruiken om processen met een hoog volume van het uitvoeren van gebeurtenissen te bepalen en dan het procespad te gebruiken om uitsluitingen te maken. Het is echter niet aan te raden algemene nutsprogramma's (bijvoorbeeld /usr/bin/grep) of tolken (bijvoorbeeld /usr/bin/ruby) uit te sluiten. Als een algemeen hulpprogramma programma of tolk een grote hoeveelheid bestanden scans genereert, kunt u meer onderzoek doen om te proberen en meer gerichte uitsluitingen te maken:
Voorbeeld uitvoer van execs.txt:
33 /usr/bin/bash
23 /usr/bin/gawk
21 /usr/bin/wc
21 /usr/bin/sleep
21 /usr/bin/ls
19 /usr/bin/pidof
17 /usr/bin/sed
14 /usr/bin/date
13 /usr/libexec/gdb
13 /usr/bin/iconv
11 /usr/bin/cat
10 /usr/bin/systemctl
9 /usr/bin/pgrep
9 /usr/bin/kmod
7 /usr/bin/rm
6 /usr/lib/systemd/systemd-cgroups-agent
6 /usr/bin/rpm
4 /usr/bin/tr
4 /usr/bin/sort
4 /usr/bin/find
Het bestand fileops.txt toont de paden waar bestanden worden gemaakt, gewijzigd en hernoemd activiteiten die zijn geactiveerd met Secure Endpoint om bestandsscans uit te voeren. Elk pad heeft een bijbehorende telling die aangeeft hoe vaak het gescand is en de lijst in aflopende volgorde gesorteerd wordt. Een manier om te beginnen met Path-uitsluitingen is het vinden van de meest gescande bestand- en mappaden uit fileops.txt en vervolgens overwegen om regels voor deze paden te maken. Een hoog aantal betekent niet noodzakelijkerwijs dat het pad moet worden uitgesloten (bijv. een directory waarin e-mails worden opgeslagen, kan vaak worden gescand, maar mag niet worden uitgesloten), maar de lijst biedt een startpunt om uitsluitingskandidaten te identificeren.
Voorbeeld uitvoer van fileops.txt:
31 /Users/eugene/Library/Cookies/Cookies.binarycookies
24 /Users/eugene/.zhistory
9 /Users/eugene/.vim/.temp/viminfo
9 /Library/Application Support/Apple/ParentalControls/Users/eugene/2018/05/10-usage.data
5 /Users/eugene/Library/Cookies/HSTS.plist
5 /Users/eugene/.vim/.temp/viminfo.tmp
4 /Users/eugene/Library/Metadata/CoreSpotlight/index.spotlightV3/tmp.spotlight.state
3 /Users/eugene/Library/WebKit/com.apple.Safari/WebsiteData/ResourceLoadStatistics/full_browsing_session_resourceLog.plist
3 /Library/Logs/Cisco/supporttool.log
2 /private/var/db/locationd/clients.plist
2 /Users/eugene/Desktop/.DS_Store
2 /Users/eugene/.dropbox/instance1/config.dbx
2 /Users/eugene/.DS_Store
2 /Library/Catacomb/DD94912/biolockout.cat
2 /.fseventsd/000000000029d66b
1 /private/var/db/locationd/.dat.nosync0063.arg4tq
Een goede vuistregel is dat alles met een log of journal-bestandsextensie moet worden beschouwd als een geschikte uitsluitingskandidaat.
De Behavioral Protection engine is geïntroduceerd in Linux connector versie 1.22.0 en in macOS connector versie 1.24.0; beginnend met deze versies kan de connector overweldigend hoge systeemactiviteit detecteren en vervolgens fout 18 veroorzaken.
Procesuitsluitingen worden toegepast op alle motoren en bestandsscans. Pas procesuitsluitingen toe op zeer actieve benigne processen om deze fout te verhelpen. Geproduceerd door de Debug Mode diagnostische gegevens, kan het top.txt bestand worden gebruikt om de meest actieve processen op het systeem te bepalen. Raadpleeg de handleiding Secure Endpoint Mac/Linux Connector Fault 18 voor gedetailleerde herstelstappen.
Bovendien kunnen procesuitsluitingen valspositieve gedragsbeschermingsdetecties van goedaardige software tot zwijgen brengen. Voor fout-positieve detecties in de Secure Endpoint Console kan het proces worden uitgesloten om de rapportage te verbeteren.
Het Windows-besturingssysteem is gecompliceerder, er zijn meer uitsluitingsopties beschikbaar vanwege de ouder- en kinderprocessen. Dit wijst erop dat een grondiger onderzoek vereist is om de dossiers te identificeren waartoe toegang is verkregen, maar ook de programma's die deze hebben voortgebracht.
Raadpleeg deze Windows Tuning Tool op de GitHub-pagina van Cisco Security voor meer informatie over het analyseren en optimaliseren van Windows-prestaties met Secure Endpoint.
Waarschuwing: begrijp altijd de bestanden en processen voordat u een uitsluiting schrijft om beveiligingskwetsbaarheden op het eindpunt te voorkomen.
Voltooi de volgende stappen om een nieuwe uitsluitingsregel te maken met de Secure Endpoint Console:
Management
te selecteren -> Exclusions
. Lokaliseer (A) de uitsluitingsset die u wilt wijzigen en klik op Bewerken
, of (B) klik op + Nieuwe uitsluitingsset...
.Nieuwe uitsluitingsset
een besturingssysteem om de uitsluitingsset voor te maken. Klik op Aanmaken
.nieuwe
pagina Uitsluitingsset
. Klik op + Uitsluiting toevoegen
en selecteer het type uitsluiting in de vervolgkeuzelijst Type selecteren
.Opslaan
om de uitsluitingsset op te slaan.Gebruik voorzichtigheid bij het maken van uitsluitingen omdat deze het beschermingsniveau verminderen dat wordt geboden door Cisco Secure Endpoint. Uitgesloten bestanden worden niet gehakt, gescand of beschikbaar in de cache of cloud, activiteit wordt niet gecontroleerd en informatie ontbreekt in Backend Engines, Device Trajectory en Advanced Analysis.
Uitsluitingen mogen alleen worden gebruikt in specifieke gevallen, zoals compatibiliteitsproblemen met specifieke toepassingen of prestatieproblemen die niet op een andere manier kunnen worden verbeterd.
Sommige beste praktijken om te volgen wanneer het creëren van uitsluitingen zijn:
java
, ruby
, bash
, sh
, etc.Apply to Child Process
uit te sluiten en te gebruiken om het aantal regels te minimaliseren.gelanceerd
op macOS, init
of systemd
op Linux) is verantwoordelijk voor het starten van alle andere processen op het systeem en staat aan de top van de proceshiërarchie.java
) en script tolken (bijvoorbeeld bash
, python
).Alhoewel het onmogelijk is om elke mogelijke aanvalsvector te kennen die een tegenstander kan gebruiken, zijn er sommige kernaanvalsvectoren die zouden moeten worden gecontroleerd. Om een goede veiligheidshouding en zichtbaarheid te behouden, worden de volgende uitsluitingen niet aanbevolen:
AcroRd32.exe |
addinprocess.exe |
addinprocess32.exe |
addinutil.exe |
bash.exe |
bginfo.exe |
bitsadmin.exe |
cdb.exe |
csi.exe |
dbghost.exe |
dbgsvc.exe |
dnx.exe |
dotnet.exe |
excel.exe |
fsi.exe |
fsiAnyCpu.exe |
iexplorer.exe |
java.exe |
kd.exe |
lxsmanager.dll |
msbuild.exe |
mshta.exe |
ntkd.exe |
ntsd.exe |
outlook.exe |
psexec.exe |
powerpnt.exe |
powershell.exe |
rcsi.exe |
svchost.exe |
schetaken.exe |
system.management.automation.dll |
windbg.exe |
winword.exe |
wmic.exe |
wuauclt.exe |
0,7z |
.bat |
.bin |
.cab |
.cmd |
.com |
.cpl |
.dll |
.exe |
.fla |
.gif |
.gz |
.hta |
.inf |
.java |
.jar |
.job |
.jpeg |
.jpg |
.js |
.ko |
.ko.gz |
.msi |
.ocx |
.png |
1,934 kW |
.py |
.rar |
.reg |
.scr |
sys. sys |
.tar |
.tmp |
.url |
.vbe |
.vbs |
.wsf |
.zip |
opdoffer |
java |
python |
python3 |
sh |
sjiek |
/ |
/bin |
/sbin |
/usr/lib |
C: |
C:\ |
C:\* |
|
D:\ |
D:\* |
C:\Program Files\Java |
C:\Temp\ |
C:\Temp\* |
C:\Users\ |
C:\Users\* |
C:\Windows\Prefetch |
C:\Windows\Prefetch\ |
C:\Windows\Prefetch\* |
C:\Windows\System32\Spool |
C:\Windows\System32\CatRoot2 |
C:\Windows\Temp |
C:\Windows\Temp\ |
C:\Windows\Temp\* |
C:\Program Bestanden\<bedrijfsnaam>\ |
C:\Program Bestanden (x86)\<bedrijfsnaam>\ |
C:\Users\<UserProfileName>\AppData\Local\Temp\ |
C:\Users\<UserProfileName>\AppData\LocalLow\Temp\ |
Opmerking: dit is geen uitputtende lijst van te vermijden uitsluitingen, maar het biedt inzicht in de kernaanvalsvectoren. Het behoud van de zichtbaarheid van deze paden, bestandsextensies en processen is van cruciaal belang.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
6.0 |
12-Feb-2024 |
Toegevoegd ontbrekende uitsluitingstypen |
5.0 |
01-Aug-2023 |
Toegevoegd gedragsbescherming aan Linux-connector |
4.0 |
22-Feb-2023 |
Toegevoegd "Common Mistakes" sectie |
3.0 |
23-Mar-2022 |
Toegevoegd gedeelte voor jokerproces |
2.0 |
18-Feb-2022 |
Bijgewerkte link naar gebruikershandleiding |
1.0 |
22-Aug-2021 |
Eerste vrijgave |