监控 SONAR 检测结果以检查误报情况

客户端会收集 SONAR 检测结果,并将其上载到管理服务器。这些结果保存在 SONAR 日志中。
若要判断哪些进程合法而哪些进程具有安全风险,请参见日志的以下各列:
事件
事件类型与客户端针对相应进程采取的操作,例如清除事件或记录事件。请查看下列事件类型:
  • 可能为合法进程的进程会列为“
    发现潜在风险
    ”事件。
  • 可能为安全风险的进程会列为“
    发现安全风险
    ”事件。
应用程序
进程名称。
应用程序类型
SONAR 扫描检测到的恶意软件类型。
文件/路径
进程启动时所在路径的名称。
从“
事件
”列可马上看出检测的进程是否为安全风险或可能为合法进程。不过,发现的潜在风险不一定是合法进程,而发现的安全风险也不一定是恶意进程。因此,您需要查看“
应用程序类型
”和“
文件/路径
”等列了解更多信息。例如,您可能识别第三方公司开发的合法应用程序的应用程序名称。
  1. 监控 SONAR 检测结果以检查误报情况
  2. 在控制台中,单击
    “监视器”>“日志”
  3. 在“日志”选项卡的“
    日志类型
    ”下拉列表中,单击“
    SONAR
    ”。
  4. 从“
    时间范围
    ”列表框中,选择一个最接近上次更改扫描设置时间的时间。
  5. 单击“
    其他设置
    ”。
    在 12.1.x 中,“
    其他设置
    ”即“
    高级设置
    ”。
  6. 在“
    事件类型
    ”下拉列表中,选择下列其中一个日志事件:
    • 若要查看所有检测到的进程,确保已选择“
      全部
      ”。
    • 若要查看已评估为安全风险的进程,请单击“
      发现安全风险
      ”。
    • 若要查看已评估且已记录为潜在风险的进程,请单击“
      发现潜在风险
      ”。
  7. 单击“
    查看日志
    ”。
  8. 在识别出合法应用程序和安全风险之后,可以在例外策略中为其创建例外。
    您可以直接从“SONAR 日志”窗格中创建例外。