创建排除列表

Endpoint Central 允许用户将特定文件或文件夹排除在检测范围之外，以防止误报并提升平台的整体效率。

通过将文件或文件夹排除在检测之外，用户可以防止合法的文件活动触发警报，并避免对工作流程造成不必要的干扰。但是，使用此选项时务必谨慎，并确保只有已授权的文件和文件夹被排除在检测之外，以维护系统安全。

以下是将文件或文件夹排除在检测之外的步骤。

如果某个事件在初次检测时被标记为误报，Endpoint Central 会在后续检测中自动将其识别为误报。但是，为了防止将来再次发生误报，并排除类似进程，可以将该事件添加到排除列表中。

如何将误报文件添加到排除列表？

只有在高度确定某个进程确实为误报时，才应将其添加到排除列表中。否则，这可能会危及设备的安全。

要将误报添加到排除列表，请按照以下步骤操作：

1. 导航至 设置 -> 排除。
2. 单击 添加排除 选项。
3. 输入误报可执行文件的详细信息。
4. 选择要排除检测的引擎类型，或选择“全部选择”以从系统检测中排除。
5. 选择排除类型并提供可移植可执行文件（PE）内部名称以识别该进程。

您可以使用以下任一技术来排除进程：

1. 签名者证书：使用此方法可缩小排除范围，凡是由指定证书指纹签名的可执行文件都将被排除。要获取叶子签名者证书的指纹，可使用诸如 sigcheck.exe -i 之类的程序。 

   注意：此方法不区分大小写，且可执行文件必须具有有效签名。

示例： 8870483E0E833965A53F422494F1614F79286851

1. SHA-256：与 SHA-256 哈希值匹配的可执行文件将被排除。要检索可执行文件的哈希值，可使用如 sigcheck.exe 之类的工具

注意：此项不区分大小写。

示例： b07f4b15a93ee95a7679be7dd3bd4f1399f12a02e826911515de7cef54f7fd1d

1. 可执行文件路径：这是一种较宽泛的排除方式，位于该路径下的任何可执行文件都会被视为排除对象。

   注意：不建议使用此方法，因为勒索软件可能会将自身复制到该位置以逃避检测。

   示例： C:\Windows\system32\notepad.exe

   

2. GLOB（全局二进制级别）：使用 GLOB 可基于指定路径排除可执行文件。位于该路径下的任何可执行文件都会被排除。请谨慎使用，以维护安全并避免威胁借此逃避检测。

   示例： C:\*\*\notepad.exe

   

3. 命令行支持：此功能支持有选择地排除特定命令行。由该特定命令行创建或执行的进程将被排除。

   示例： cmd.exe /c vssadmin delete shadows /all, 
   cmd.exe /c DeleteBackups.bat

   

识别排除项的行为类型

当从检测来源 行为检测引擎 添加排除项时，需要选择 行为类型，这是用于精确行为检测的警报规则。请按照以下步骤识别行为类型：

1. 导航至 事件。
2. 单击由行为检测引擎检测到的事件，然后转到 警报 选项卡。

3. 行为类型会在警报中显示。
    

   

4. 在将其标记为误报并将该事件添加为排除项时，可以选择提供的行为类型。

将文件夹排除在检测之外

此外，还可以在 Endpoint Central 中将特定文件夹排除在勒索软件检测引擎的检测范围之外。要将文件夹排除在检测之外，请按照以下步骤操作：

1. 参考上文所给步骤来创建排除策略。
2. 为排除策略命名，并将检测来源选择为 勒索软件检测引擎 或 数据外传检测引擎。
3. 填写排除项的详细信息。
4. 选择 允许的文件夹 选项卡，并添加您希望排除的文件夹名称。每个文件夹名称都必须在授权文件夹下单独提供。也可以在将事件标记为误报并将其添加为排除项时，通过 事件 选项卡提供此信息。