排除项
该 排除项 页面通过创建和管理可针对环境中每个区段配置文件定制的排除列表,增强您对策略内容的控制力。
这种单一源头的排除管理系统允许您在策略之外创建和管理排除项及排除列表,从而避免为复用排除项而继承策略设置,
您可将排除项复用于一个或多个列表,随后将这些列表分配给一个或多个策略,从而完全自由定制扫描排除内容。此外,当您为策略分配排除列表时,可查看变更将影响多少终端。
这将使策略更加精简且目标明确,从而提升整体环境性能与稳定性,并通过减少误报事件数量来降低SOC团队的工作负担。
重要提示
Bitdefender 安全代理可排除特定对象类型的扫描。反恶意软件排除项仅适用于特殊情况,或遵循微软及 Bitdefender 的建议。如需获取微软推荐的最新排除项列表,请参阅此 网页文章 .
该 排除项 页面包含两大区域:
-
排除项列表 面板,您可在此创建和管理排除项列表。 排除项
-
页面,您可在此创建新排除项,或管理已分配至排除项列表的现有排除项。 排除项列表面板 在
排除项列表
面板中,您可创建新列表并进行管理,同时还能访问公司内其他具有网络管理权限用户创建的所有可用列表。 我的列表 分区仅包含您创建的排除项列表。
-
其他列表 分区包含公司内所有具有网络管理权限用户创建的全部可用排除项列表。 您可通过点击
-
新建列表 按钮来创建新列表。 排除项网格
区域 创建新列表 按钮。 新建列表 按钮。
排除项网格
在 排除项网格 区域中,您可以从头创建新的排除规则、编辑和删除它们,使用广泛的筛选选项来管理现有排除项并将其分配到列表。
-
如果您点击 所有排除项 栏(位于列表部分顶部),网格区域将显示您环境中迄今为止创建的所有排除规则,无论它们是否已分配到列表。
排除项可能分多页显示。使用底部的控制按钮进行导航。
-
如果您选择任何排除列表,网格区域将仅显示分配给该列表的排除规则。
要自定义网格区域,您可以执行以下操作:
-
点击
显示/隐藏筛选器
按钮以显示或隐藏筛选栏。
-
点击
显示/隐藏列
按钮以添加或移除筛选列。
-
点击
刷新
按钮以刷新列表。
-
点击 清除 按钮以重置所有筛选器。
搜索、筛选和排序排除项
网格区域提供多种搜索、筛选和排序选项。
您可以按以下方式筛选/搜索:
-
对象类型 - 从下拉菜单中选择所需对象类型并点击 应用 以显示可用的排除规则。
-
排除项 - 输入排除项名称进行搜索,显示所有可能包含该项目的规则。
-
模块 - 选择所需的扫描技术,显示应用于该模块的所有排除规则。
-
备注 - 通过添加到 备注 字段中的特定关键词搜索排除规则。
对于排除项和备注,您可以在搜索中使用星号(*)作为通配符来匹配零个、一个或多个字符。例如,使用
*文本
查找所有包含
文本
.
要对排除项进行排序,请点击每列的标题,包括 列表中 和 添加日期 .
创建并将排除项分配到列表
在 GravityZone 中,您可以单独创建排除项,然后单独或批量分配到一个或多个列表。
要从头创建新的排除规则并将其分配到列表:
-
点击 添加排除项 按钮,开始定义新的排除规则。
-
从菜单中选择排除对象类型:
-
文件 :仅指定的文件
-
文件夹 :指定文件夹及其所有子文件夹内的全部文件和进程
-
扩展名 :所有具有指定扩展名的项目
-
进程 :被排除进程访问的任何对象
-
文件哈希 :具有指定哈希值(SHA-256格式)的文件
-
证书哈希 :指定证书哈希(指纹,SHA-1和SHA-2格式)下的所有应用程序和PowerShell脚本(适用于Windows终端)
-
威胁名称 :任何具有检测名称的项目(不适用于Linux操作系统)
-
带正则表达式的命令行 :使用正则表达式指定的命令行(仅适用于Windows操作系统)
-
命令行 :指定的命令行(仅适用于Windows操作系统)
-
IP/掩码 :该IP地址或IP掩码(0-255格式)的进出流量将被排除在扫描之外
-
-
提供与所选排除类型相关的详细信息:
文件、文件夹或进程
输入要排除扫描的项目的路径。您有以下几种便捷的路径书写方式:
-
显式声明路径。
例如:
C:\temp要为UNC路径添加排除项,请使用以下任意语法:
\\主机名\共享名\文件路径\\IP地址\共享名\文件路径支持的路径分隔符包括反斜杠(\)、斜杠(/)和冒号(:)。
-
使用通配符。
星号(*)代表零个或多个字符。双星号(**)代表零个或多个字符。问号(?)代表恰好一个字符。您可以使用多个问号来定义特定数量的字符组合。例如,???代表恰好三个字符的任意组合。
例如:
C:\Test\*.*– 排除Test文件夹中的所有文件。C:\Test\*.png– 排除Test文件夹中的所有PNG文件。C:\Test\*- 排除Test文件夹中的所有文件。**\file.txt- 排除所有名为file.txt的文件,无论这些文件位于何处。**\my_folder\*\file.txt- 排除所有位于my_folder之上任意层级及my_folder之下单层子文件夹中包含file.txt.**\application*.exe- 排除所有以application为名称开头且后跟一个或多个字符的变体文件,无论这些文件位于何处。C:\MyApp\**- 排除MyApp文件夹中的所有文件和子文件夹,无论层级深度。C:\Program Files\WindowsApps\Microsoft.Not??.exe– 排除Microsoft Notes相关进程。
注意
-
在macOS系统中,星号(*)和问号(?)可替代路径分隔符,这与Windows和Linux系统不同。仅在Windows系统中双星号(**)可替代路径分隔符。
-
若使用不当,双星号(**)可能导致非预期的排除结果,因此建议谨慎使用。
-
macOS系统不支持双星号(**)。在该操作系统中,仅能使用星号(*)和问号(?)作为通配符。
扩展名
输入一个或多个需排除扫描的文件扩展名,以分号";"分隔。可输入带或不带前置点的扩展名。例如输入
txt即可排除文本文件。注意
在基于Linux的系统上,文件扩展名区分大小写,同名不同扩展名的文件被视为独立对象。例如
file.txt与file.TXT.文件哈希、证书哈希、威胁名称、命令行或正则表达式命令行
根据排除规则输入文件哈希值、证书指纹(哈希)、威胁全称或命令行。每个排除项仅能使用一个条目。
注意
命令行排除 不支持通配符,仅支持精确排除。对于需要匹配多路径或可变进程的复杂场景,请使用 正则表达式命令行 排除功能。
命令行示例:
npm install npx nx format tester.exe acceptance --run-all-tests
正则表达式命令行示例:
C\:\\Users\\[a-z]+\\Desktop\\app.exe param1 param2.value
-
-
选择该规则适用的扫描方式。某些排除项可能仅适用于特定扫描模块(实时扫描、按需扫描、ATC/IDS、勒索软件防护、LSASS保护),而其他排除项可能推荐应用于所有模块。
-
可选操作:点击 显示备注 按钮,在 备注 列中添加规则说明。
-
点击
添加
按钮。
新规则将被添加到列表中。
要从列表中移除规则,请点击对应的
删除
按钮。
重要提示
按需扫描排除项不适用于上下文扫描。上下文扫描需右键点击文件或文件夹并选择 使用 Bitdefender终端安全工具 .
要将排除规则分配至一个或多个列表:
-
在表格区域,点击
更多
按钮,然后选择
编辑列表分配
.
-
在配置页面中,从下拉菜单选择需添加排除规则的列表,并点击 应用 .
在 列表预览 区域可查看即将更新的排除列表。
-
点击 保存 完成操作。
要将多个排除规则分配至多个列表:
-
在表格区域勾选一个或多个排除项。
-
点击 分配到列表 按钮。
-
在配置页面中,从下拉菜单中选择要将排除规则添加至其内容的列表,然后点击 应用 .
在 列表预览 区域,您可以看到即将更新的排除列表。
-
点击 分配 以完成该过程。
内联编辑排除项
要内联编辑排除规则:
-
转到目标排除项,点击
更多
按钮并选择
编辑排除项
.
-
在以下列中进行更改:
-
排除项
-
模块
-
备注
-
-
点击
确认图标以保存更改。
导出排除项
要以CSV格式导出一个或多个排除项:
-
在网格中勾选相应的复选框。
-
点击页面顶部的 导出所选内容 按钮。
-
在确认页面中,检查列出的排除项。仅显示前五个选定项目。CSV文件将包含全部选定内容。
-
确认操作。
若要导出某一时刻所有页面上显示的排除项,请点击
导出视图
网格右上角的按钮。
删除排除项
删除特定排除项的步骤:
-
定位到目标排除项,点击
更多
和
删除
按钮。
-
在确认窗口中,查看受操作影响的列表和策略。
-
确认操作。
批量删除排除项的步骤:
-
勾选表格中对应的复选框。
-
点击 删除 表格上方的按钮。
-
在确认窗口中,查看受操作影响的排除项数量、列表及策略。
-
确认操作。
创建新排除列表
创建新排除列表的步骤:
-
点击 新建列表 选项打开定义新列表的窗口。
-
在 名称 字段中填写新列表名称。
注意
此字段为必填项。
-
在 描述 字段中添加列表的相关详细信息。
命名并描述列表后,您可以开始定义排除规则。
-
从菜单中选择要排除的对象类型:
-
文件 :仅指定的文件。
-
文件夹 :指定文件夹及其所有子文件夹中的所有文件和进程。
-
扩展名 :具有指定扩展名的所有项目。
-
进程 :被排除进程访问的任何对象。
-
文件哈希 :具有指定哈希值的文件。 GravityZone 支持SHA-256哈希算法。
-
证书哈希 :指定证书哈希(指纹)下的所有应用程序和PowerShell脚本(适用于Windows端点)。
-
威胁名称 :具有检测名称的任何项目(不适用于Linux操作系统)。
-
命令行 :指定的命令行(仅适用于Windows操作系统)。
-
IP/掩码 :将排除扫描其入站和出站流量的IP地址或IP掩码(0-255格式)。
警告
在集成NSX的无代理VMware环境中,您只能排除文件夹和扩展名。
-
-
提供所选排除类型的详细信息:
文件、文件夹或进程
输入要从扫描中排除的项路径。您有以下几种便捷的路径编写方式:
-
显式声明路径。
例如:
C:\temp要为UNC路径添加排除项,请使用以下任意语法:
\\主机名\共享名\文件路径\\IP地址\共享名\文件路径支持的路径分隔符包括反斜杠(\)、斜杠(/)和冒号(:)。
注意
为满足Linux系统要求, GravityZone 在定义路径时最多支持4096个字符。若要在Windows上应用此限制,请确保目标机器的MAX_PATH参数设置支持该值。 详见微软官方文档 .
-
使用下拉菜单中的系统变量。
对于进程排除项,还需添加应用程序可执行文件的名称。
例如:
%ProgramFiles%- 排除Program Files文件夹%WINDIR%\system32– 排除Windows文件夹内的system32目录%SystemDrive%- 排除存放Windows文件夹的驱动器(通常为C盘注意
建议使用 系统变量 (在适用情况下)以确保路径在所有目标计算机上均有效。
-
使用通配符。
星号(*)可替代零个或多个字符。双星号(**)可替代零个或多个目录层级。问号(?)精确替代一个字符。可通过多个问号定义特定数量的字符组合,例如???表示精确替代任意三个字符的组合。
例如:
C:\Test\*.*– 排除Test文件夹中的所有文件。C:\Test\*.png– 排除Test文件夹中的所有PNG文件。C:\Test\*- 排除Test文件夹中的所有文件。**\file.txt- 排除所有名为file.txt的文件,无论这些文件位于何处。**\my_folder\*\file.txt- 排除所有位于my_folder之上各级文件夹及my_folder下一级子文件夹中包含file.txt.C:\Program Files\WindowsApps\Microsoft.Not??.exe– 排除Microsoft Notes进程。
注意
-
在macOS上,与Windows和Linux不同,星号(*)和问号(?)可以替代路径分隔符。仅在Windows上,双星号(**)可以替代路径分隔符。
-
双星号(**)若使用不当可能导致意外排除,因此建议谨慎使用。
-
macOS不支持双星号(**)。在该操作系统上,只能使用星号(*)和问号(?)作为通配符。
扩展名
输入一个或多个文件扩展名以排除扫描,用分号";"分隔。可以输入带或不带前置点的扩展名。例如,输入
txt以排除文本文件。注意
在基于Linux的系统上,文件扩展名区分大小写,名称相同但扩展名不同的文件被视为不同对象。例如,
file.txt与file.TXT.文件哈希、证书哈希、威胁名称或命令行
根据排除规则输入文件哈希、证书指纹(哈希)、威胁的准确名称或命令行。每个排除项只能使用一个条目。
-
-
选择规则适用的扫描方法。某些排除项可能仅适用于其中一个扫描模块(实时扫描、按需扫描、ATC/IDS、勒索软件缓解),而其他排除项可能建议适用于所有模块。
注意
默认情况下, 模块 字段会预选与所选 对象类型 .
-
点击
添加
按钮将其加入列表。
您还可以选择从CSV文件导入已定义的规则。
要从列表中移除已创建的排除项,只需点击
删除
图标。
-
在列表中定义完所有需要的排除规则后,点击 保存 .
新创建的列表将出现在 我的列表 区域。具体操作请参阅 将排除列表分配给策略 了解如何将排除列表分配给一个或多个策略。
将排除列表分配给策略
要将排除列表分配给一个或多个策略,请执行以下操作:
-
从 排除列表 面板中选择所需的排除列表。
网格区域将显示所选列表分配的所有排除规则。
在此您可以添加新排除项、删除现有项或按多种条件筛选。详见 排除项网格 了解如何配置网格区域及筛选排除项。
-
点击列表名称可打开其侧边详细信息面板。
详细信息面板包含列表来源的基本信息、相关细节及可执行操作。
-
点击 编辑分配 将排除列表分配给一个或多个策略。
-
从下拉菜单中选择需添加该排除列表内容的策略,然后点击 应用 .
在 策略预览 区域可查看即将更新的策略。
-
点击 保存 完成操作。
编辑排除列表
编辑排除列表步骤:
-
点击左侧面板中的列表名称。
-
在网格区域点击 编辑列表 按钮。
-
在配置页面可进行以下修改:
-
编辑标题
-
编辑描述
-
手动添加新排除项或从CSV文件导入。
配置排除列表的详细说明请参阅 创建新排除列表 .
-
-
点击 更新 按钮确认更改。
从被阻止应用程序报告添加排除项
要向 配置档案 部分直接通过 被阻止的应用程序 报告添加排除项,请按以下步骤操作:
-
前往 报告 部分(位于 控制中心 左侧菜单),并创建 被阻止的应用程序 报告。
关于报告配置的通用说明,请参阅 创建报告 .
-
创建报告后,进入详情区域,选择被 反恶意软件 和 高级反漏洞利用 模块阻止的进程。
-
点击 添加排除项 选项并选择 应用到档案 .
GravityZone 将跳转至 配置档案 部分。
-
在排除项网格中,每个选定进程会根据拦截模块自动创建一或两条记录:
-
被ATC/IDS模块阻止时创建一条进程排除记录。排除规则会在 排除项 列并提及ATC/IDS模块。
-
当被反恶意软件模块拦截时,会生成两条记录:一条进程排除项和一条文件排除项。进程排除项会在 排除项 列显示路径并提及实时防护和ATC/IDS模块。文件排除项则在 排除项 列显示路径,并提及与
文件对象类型对应的所有模块。
-
-
点击
更多
图标并选择
编辑列表分配
可将这些排除项添加至任意列表。
-
点击 返回 按钮(位于 配置档案 区域左上角)可返回 被拦截应用程序 报告。
删除排除列表
删除排除列表步骤:
-
展开排除列表详情面板,点击 删除 .
系统将显示确认信息,列出会移除该列表的策略及其影响的终端数量。
-
点击 删除 确认执行删除操作,或 取消 以退出操作。
监控用户活动中的变更
您可以在 用户活动 部分中监控对排除规则和排除列表所做的更改。
当创建、编辑、删除或将排除规则分配给列表时, 排除规则 区域的条目会显示这些更改。如果排除规则分配给多个列表, GravityZone 控制中心 会为每个受影响的列表显示一个条目,对应 排除列表 区域。如果列表分配给策略,则 策略 区域的条目也会显示此更改。
例如,编辑一个分配给三个列表的排除规则,其中有一个列表分配给四个策略,会在 用户活动 :
-
一个条目对应排除规则。
-
三个条目对应受影响的排除列表。
-
四个条目对应受影响的策略。
所有这些条目具有相同的创建日期和时间,因此您可以轻松监控它们。
GravityZone 会记录排除的以下编辑元素:对象类型、排除项、模块和列表分配。但该部分不会记录备注的更改。