Gestion et prévention des détections de faux positifs par SONAR

SONAR peut effectuer des détections de faux positifs pour certaines applications personnalisées internes. En outre, si vous désactivez la consultation Insight, le nombre de faux positifs provenant de SONAR augmente.
Vous pouvez modifier les paramètres de SONAR pour atténuer les détections de faux positifs en général. Vous pouvez également créer des exceptions pour un fichier spécifique ou une application spécifique que SONAR détecte comme faux positif.
Si vous définissez l'action pour les détections de risques élevés sur une simple consignation, vous risquez d'autoriser des menaces potentielles sur vos ordinateurs clients.
Gestion des faux positifs de SONAR
Tâche
Description
Consigner les détections heuristiques des risques élevés de SONAR et utiliser l'apprentissage des applications
Vous pouvez définir l'action de détection pour les détections heuristiques des risques élevés sur
Consigner
pendant une courte période. Laissez l'apprentissage des applications s'exécuter pendant la même période.
Symantec Endpoint Protection
apprend les processus légitimes que vous exécutez sur votre réseau. Toutefois, certaines détections vraies ne peuvent pas être mises en quarantaine.
Après cette période, vous devez rétablir l'action de détection sur
Mettre en quarantaine
.
Si vous utilisez le mode agressif pour les détections heuristiques des risques faibles, vous augmentez la probabilité de détecter des faux positifs. Le mode agressif est désactivé par défaut.
Créer des exceptions pour que SONAR autorise des applications sûres
Vous pouvez créer des exceptions pour SONAR de différentes manières :
  • Utilisez le journal SONAR pour créer une exception pour une application qui a été détectée et mise en quarantaine.
    Vous pouvez créer une exception à partir du journal SONAR pour des détections de faux positifs. Si l'élément est mis en quarantaine,
    Symantec Endpoint Protection
    restaure l'élément après avoir analysé de nouveau l'élément en quarantaine. Les éléments en quarantaine sont analysés de nouveau lorsque le client reçoit des définitions mises à jour.
  • Utilisez une politique d'exception pour spécifier une exception pour un nom de fichier, un nom de dossier ou une application en particulier.
    Vous pouvez exclure un dossier entier de la détection SONAR. Vous pouvez exclure les dossiers dans lesquels vos applications personnalisées résident.