Behandeln und Verhindern von Falschmeldungen bei SONAR-Erkennungen

SONAR erzeugt bei der Erkennung möglicherweise Falschmeldungen für bestimmte interne benutzerdefinierte Anwendungen. Die Anzahl der Falscherkennungen von SONAR erhöht sich auch, wenn Sie Insight-Lookups deaktivieren.
Sie können die Einstellungen von SONAR ändern, um Falschmeldung im Allgemeinen zu reduzieren. Außerdem können Sie Ausnahmen für eine bestimmte Datei oder eine bestimmte Anwendung erstellen, die bei der SONAR-Erkennung zu einer Falschmeldung führt.
Wenn Sie für Erkennungen mit hohem Risiko die Aktionseinstellung "Nur protokollieren" verwenden, könnten Sie damit mögliche Bedrohungen auf Ihren Clientcomputern zulassen.
Behandeln von SONAR-Falschmeldungen
Aufgabe
Beschreibung
Heuristische SONAR-Erkennungen mit hohem Risiko protokollieren und Anwendungslernen einsetzen
Sie sollten die Erkennungsaktion für heuristische Erkennungen mit hohem Risiko für kurze Zeit auf
Protokoll
einstellen. Führen Sie während des gleichen Zeitraums die Funktion "Anwendung lernen" aus.
Symantec Endpoint Protection
erfasst Informationen zu den legitimen Prozessen, die im Netzwerk ausgeführt werden. Einige echte Erkennungen werden jedoch möglicherweise nicht isoliert.
Nach Ablauf des Zeitraums sollten Sie die Erkennungsaktion wieder auf
Isolieren
setzen.
Wenn Sie für heuristische Erkennungen mit geringem Risiko den Aggressivmodus verwenden, erhöhen Sie die Wahrscheinlichkeit von Falschmeldungen. Der Aggressivmodus ist standardmäßig deaktiviert.
Ausnahmen erstellen, damit SONAR sichere Anwendungen zulässt
Sie haben folgende Möglichkeiten, Ausnahmen für SONAR zu erstellen:
  • Verwenden Sie das SONAR-Protokoll, um eine Ausnahme für eine Anwendung zu erstellen, die erkannt und isoliert wurde.
    Sie können über das SONAR-Protokoll eine Ausnahme für Falschmeldungen bei der Erkennung erstellen. Wenn das Element isoliert ist, stellt
    Symantec Endpoint Protection
    das Element wieder her, nachdem es das Element in der Quarantäne erneut gescannt hat. Elemente in der Quarantäne werden erneut gescannt, nachdem der Client aktualisierte Definitionen erhalten hat.
  • Verwenden Sie eine Ausnahmerichtlinie, um eine Ausnahme für einen bestimmten Dateinamen, einen Ordnernamen oder eine Anwendung anzugeben.
    Sie können einen ganzen Ordner aus der SONAR-Erkennung ausschließen. Sie sollten die Ordner ausschließen, in denen sich Ihre benutzerdefinierten Anwendungen befinden.