处理和防止 SONAR 误报检测

对于某些内部自定义应用程序,SONAR 可能会做出误报检测。此外,如果您禁用“智能扫描查找”,则来自 SONAR 的误报数目会增加。
通常您可以更改 SONAR 设置以减轻误报检测率。也可以为 SONAR 检测为误报的特定文件或特定应用程序创建例外。
如果您将高风险检测对应的操作设置为仅记录,则可能会为您的客户端计算机带来潜在威胁。
处理 SONAR 误报
任务
说明
记录 SONAR 高风险启发式检测和使用应用程序发现
您可能需要将高风险启发式检测对应的检测操作设置为在短时间内进行“
记录
”。让应用程序发现运行相同的时间段。
Symantec Endpoint Protection
将发现在网络中运行的合法进程。但是可能无法隔离某些真正的检测结果。
在该时间段之后,您应将检测操作重新设置回“
隔离
”。
如果您针对低风险启发式检测使用主动模式,则会增加误报检测的可能性。默认情况下已禁用主动模式。
为 SONAR 创建例外,以允许安全应用程序
您可以采用下列方式为 SONAR 创建例外:
  • 使用 SONAR 日志为已检测到并隔离的应用程序创建例外
    您可以从 SONAR 日志中为误报检测创建例外。如果相应项目已隔离,则
    Symantec Endpoint Protection
    会在隔离区中重新扫描该项目之后还原该项目。客户端收到更新定义之后,则会重新扫描隔离区中的项目。
  • 使用例外策略为特定文件名、文件夹名称或应用程序指定例外。
    您可以从 SONAR 检测中排除整个文件夹。您可能需要排除其中驻留自定义应用程序的文件夹。