Suivi des résultats de détection de SONAR en vue de la recherche de faux positifs

Le client collecte et charge les résultats de détection SONAR sur le serveur de gestion. Les résultats sont enregistrés dans le journal SONAR.
Pour déterminer les processus légitimes et ceux qui constituent des risques de sécurité, examinez les colonnes suivantes dans le journal :
Evénement
Le type d'événement et l'action que le client a entreprise sur le processus, telle que son nettoyage ou sa consignation. Recherchez les types d'événements suivants :
  • Un éventuel processus légitime est répertorié comme événement
    Risque potentiel détecté
    .
  • Un risque de sécurité probable est répertorié comme événement
    Risque de sécurité détecté
    .
Application
Le nom du processus.
Type d'application
Type de malware qu'une analyse SONAR a détecté.
Fichier/chemin
Le nom du chemin d'accès où le processus a été lancé.
La colonne
Evénement
vous indique immédiatement si un processus détecté constitue un risque de sécurité ou un éventuel processus légitime. Toutefois, un risque potentiel détecté peut être ou ne pas être un processus légitime, et un risque de sécurité détecté peut être ou ne pas être un processus malveillant. Par conséquent, vous devez examiner les colonnes
Type d'application
et
Fichier/chemin
pour plus d'informations. Par exemple, vous pouvez reconnaître le nom d'application d'une application légitime développée par une société tierce.
  1. Pour contrôler les résultats de détection SONAR à la recherche de faux positifs
  2. Dans la console, cliquez sur
    Contrôles> Journaux
    .
  3. Dans l'onglet Journaux, dans la liste déroulante
    Type de journal
    , cliquez sur
    SONAR
    .
  4. Sélectionnez une heure dans la zone de liste
    Plage temporelle
    la plus proche du moment où vous avez modifié pour la dernière fois un paramètre d'analyse.
  5. Cliquez sur
    Paramètres supplémentaires
    .
    Dans 12.1.x,
    Paramètres supplémentaires
    est
    Paramètres avancés
    .
  6. Dans la liste déroulante
    Type d'événement
    , sélectionnez l'un des événements de journal suivants :
    • Pour afficher tous les processus détectés, veillez à ce que l'option
      Tout
      soit sélectionnée.
    • Pour afficher les processus qui ont été évalués comme des risques de sécurité, cliquez sur
      Risque de sécurité détecté
      .
    • Pour afficher les processus qui ont été évalués et consignés comme des risques potentiels, cliquez sur
      Risque potentiel détecté
      .
  7. Cliquez sur
    Afficher le journal
    .
  8. Après l'identification des applications légitimes et des risques de sécurité, créez une exception pour eux dans une politique d'exceptions.
    Vous pouvez créer l'exception directement à partir du volet Journaux SONAR.