排除项
该 排除项 页面通过创建和管理可针对环境中各细分场景定制的排除列表,增强您对策略内容的控制力。
这种集中式排除管理系统允许您在策略之外创建和管理排除项及排除列表,无需通过策略间继承设置即可复用排除项。
您可将排除项复用于一个或多个列表,再将列表分配给一个或多个策略,从而完全自由定制扫描排除内容。此外,当您为策略分配排除列表时,可直观查看变更将影响多少终端。
由此产生的策略将更加精简且目标明确,既能提升整体环境性能与稳定性,又能通过减少误报事件来降低SOC团队工作量。
重要提示
Bitdefender 安全代理可排除特定对象类型的扫描。反恶意软件排除项仅适用于特殊情况,或需遵循微软及 Bitdefender 建议。有关微软推荐的最新排除项列表,请参阅此 网络文章 .
排除项 页面包含两个主要区域:
-
排除项列表 面板,您可在此创建和管理排除项列表。
-
排除项 页面,您可在此新建排除项,或管理已分配到排除项列表中的项目。
作为合作伙伴,您一次仅能查看一家公司的排除项及列表。要切换公司,请点击页面右上角选择器中当前公司名称旁的 X 图标。
排除项列表面板
在 排除项列表 面板中,您可以创建新列表并管理,同时还能访问公司内其他拥有网络管理权限的用户创建的所有可用列表。
-
我的列表 部分仅包含您创建的排除项列表。
-
其他列表 部分包含公司内所有拥有网络管理权限的用户创建的全部排除项列表。
您可以通过点击 新建列表 新建列表 按钮来创建新列表。
排除项网格
在 排除项网格 区域中,您可以从头创建新的排除规则、编辑和删除它们,使用广泛的筛选选项来管理现有排除项并将其分配到列表。
-
如果您点击 所有排除项 列表部分顶部的栏,网格区域将显示您环境中迄今为止创建的所有排除规则,无论它们是否已分配到列表。
排除项可能显示在多个页面上。要导航它们,请使用底部的控制按钮。
-
如果您选择任何排除列表,网格区域将仅显示分配给该列表的排除规则。
要自定义网格区域,您可以采取以下操作:
-
点击
显示/隐藏筛选器
按钮以显示或隐藏筛选器栏。
-
点击
显示/隐藏列
按钮以添加或移除筛选列。
-
点击
刷新
按钮以刷新列表。
-
点击 清除 按钮以重置所有筛选器。
搜索、筛选和排序排除项
网格区域为您提供了多种搜索、筛选和排序选项。
注意
您一次只能查看一个公司的排除项。要更改公司,请使用页面右上角的选择器。
您可以按以下方式筛选/搜索:
-
对象类型 - 从下拉菜单中选择所需的对象类型并点击 应用 以显示可用的排除规则。
-
排除项 - 输入排除项名称进行搜索,显示所有可能包含该项目的规则。
-
模块 - 选择所需的扫描技术,显示应用于该模块的所有排除规则。
-
备注 - 通过添加到 备注 字段中的特定关键词搜索排除规则。
对于排除项和备注,您可以在搜索中使用星号(*)作为通配符来匹配零个、一个或多个字符。例如,使用
*文本
查找所有包含
文本
.
要对排除项进行排序,请点击每列的标题,包括 所属列表 和 添加日期 .
创建排除项并将其分配到列表
在 GravityZone 中,您可以单独创建排除项,然后单独或批量将其分配到一个或多个列表。
要从头创建新的排除规则并分配到列表:
-
使用页面右上角的选择器选择公司。
-
点击 添加排除项 按钮,开始定义新的排除规则。
-
从菜单中选择排除对象类型:
-
文件 :仅限指定文件
-
文件夹 :指定文件夹及其所有子文件夹内的全部文件和进程
-
扩展名 :具有指定扩展名的所有项目
-
进程 :被排除进程访问的任何对象
-
文件哈希 :具有指定哈希值(SHA-256格式)的文件
-
证书哈希 :指定证书哈希值(指纹,SHA-1和SHA-2格式)下的所有应用程序和PowerShell脚本(适用于Windows终端)
-
威胁名称 :具有检测名称的任何项目(不适用于Linux操作系统)
-
带正则表达式的命令行 :使用正则表达式指定的命令行(仅适用于Windows操作系统)
-
命令行 :指定的命令行(仅适用于Windows操作系统)
-
IP/掩码 :该IP地址或IP掩码(0-255格式)的进出流量将被排除在扫描范围外
-
-
提供与所选排除类型相关的详细信息:
文件、文件夹或进程
输入需排除扫描的项目的路径。您可通过以下方式编写路径:
-
显式声明路径。
例如:
C:\temp要为UNC路径添加排除项,请使用以下任一语法:
\\主机名\共享名\文件路径\\IP地址\共享名\文件路径支持的路径分隔符包括反斜杠(\)、斜杠(/)和冒号(:)。
-
使用通配符。
星号(*)可替代零个或多个字符。双星号(**)同样替代零个或多个字符。问号(?)精确替代一个字符。可通过多个问号定义特定数量的字符组合,例如???表示精确替代任意三个字符的组合。
例如:
C:\Test\*.*——排除Test文件夹中的所有文件。C:\Test\*.png——排除Test文件夹中所有PNG文件。C:\Test\*——排除Test文件夹中的所有文件。**\file.txt——排除所有名为file.txt的文件,无论其存储位置。**\my_folder\*\file.txt——排除my_folder上级所有层级目录及my_folder下一级子目录中包含file.txt.**\application*.exe——排除所有以application为名称基础(后接任意字符变体)的可执行文件,无论其存储位置。C:\MyApp\**——排除MyApp文件夹内所有文件及子文件夹(不限层级深度)。C:\Program Files\WindowsApps\Microsoft.Not??.exe——排除Microsoft Notes相关进程。
注意
-
在macOS系统中,与Windows和Linux不同,星号(*)和问号(?)可以替代路径分隔符。在Windows上只有双星号(**)能替代路径分隔符。
-
双星号(**)若使用不当可能导致非预期的排除,因此建议谨慎使用。
-
macOS系统不支持双星号(**),在该操作系统中仅能使用星号(*)和问号(?)作为通配符。
扩展名
输入一个或多个要排除扫描的文件扩展名,用分号";"分隔。扩展名前可带或不带点号。例如输入
txt可排除文本文件。注意
在基于Linux的系统上,文件扩展名区分大小写,同名不同扩展名的文件被视为独立对象。例如
file.txt与file.TXT.文件哈希、证书哈希、威胁名称、命令行或正则表达式命令行
根据排除规则输入文件哈希值、证书指纹(哈希)、威胁全称或命令行。每个排除项只能使用一个条目。
注意
命令行排除 不支持通配符,仅支持精确排除。对于需要匹配多路径或可变进程的复杂场景,请使用 正则表达式命令行 排除。
命令行示例:
npm install npx nx format tester.exe acceptance --run-all-tests
正则表达式命令行示例:
C\:\\Users\\[a-z]+\\Desktop\\app.exe param1 param2.value
-
-
选择规则适用的扫描方式。某些排除项可能仅适用于一个扫描模块(实时扫描、按需扫描、ATC/IDS、勒索软件防护、LSASS保护),而其他排除项可能建议应用于所有模块。
-
可选操作:点击 显示备注 按钮在 备注 规则相关列。
-
点击
添加
按钮。
新规则将被添加到列表中。
要从列表中移除规则,请点击对应的
删除
按钮。
重要提示
按需扫描排除项不适用于上下文扫描。上下文扫描需右键点击文件或文件夹并选择 使用 Bitdefender端点安全工具 .
要将排除规则分配至一个或多个列表:
-
在表格区域,点击
更多
按钮,然后选择
编辑列表分配
.
-
在配置页面中,从下拉菜单中选择需添加排除规则的列表,并点击 应用 .
在 列表预览 区域可查看即将更新的排除列表。
-
点击 保存 完成操作。
要将多个排除规则分配至多个列表:
-
在表格区域选择一个或多个排除项。
-
点击 分配至列表 按钮。
-
在配置页面中,从下拉菜单中选择要将排除规则添加至其内容的列表,并点击 应用 .
在 列表预览 区域,您可以看到即将更新的排除列表。
-
点击 分配 以完成该过程。
内联编辑排除项
要内联编辑排除规则:
-
转到所需排除项,点击
更多
按钮并选择
编辑排除项
.
-
在以下列中进行更改:
-
排除项
-
模块
-
备注
-
-
点击
确认图标以保存更改。
导出排除项
要以CSV格式导出一个或多个排除项:
-
在网格中选择相应的复选框。
-
点击 导出所选内容 点击页面顶部的
-
在确认页面中,核对列出的排除项。仅显示前五个选定项目,CSV文件将包含全部选择内容。
-
确认操作。
若要导出某时刻所有页面显示的排除项,请点击表格右上角的
导出视图
按钮。
删除排除项
删除特定排除项的方法:
-
定位到目标排除项,依次点击
更多
与
删除
按钮。
-
在确认窗口中,查看受影响的清单及策略列表。
-
确认操作。
批量删除排除项的方法:
-
勾选表格中对应的复选框。
-
点击表格上方的 删除 按钮。
-
在确认窗口中,查看受影响的排除项数量、清单及策略。
-
确认操作。
创建新排除清单
创建新排除清单的方法:
-
使用页面右上角的选择器指定公司。
-
点击 新建清单 选项,打开定义新清单的窗口。
-
在 名称 字段。
注意
此字段为必填项。
-
在 描述 字段中添加列表的相关详细信息。
命名并描述列表后,即可开始定义排除规则。
-
从菜单中选择要排除的对象类型:
-
文件 :仅指定的文件。
-
文件夹 :指定文件夹及其所有子文件夹中的所有文件和进程。
-
扩展名 :具有指定扩展名的所有项目。
-
进程 :被排除进程访问的任何对象。
-
文件哈希 :具有指定哈希值的文件。 GravityZone 支持SHA-256哈希算法。
-
证书哈希 :指定证书哈希(指纹)下的所有应用程序和PowerShell脚本(适用于Windows端点)。
-
威胁名称 :具有检测名称的任何项目(不适用于Linux操作系统)。
-
命令行 :指定的命令行(仅适用于Windows操作系统)。
-
IP/掩码 :将排除扫描其入站和出站流量的IP地址或IP掩码(0-255格式)。
警告
在与NSX集成的无代理VMware环境中,只能排除文件夹和扩展名。
-
-
提供与所选排除类型相关的详细信息:
文件、文件夹或进程
输入需排除扫描项的路径。您可通过以下方式编写路径:
-
显式声明路径。
例如:
C:\temp要为UNC路径添加排除项,请使用以下任意语法:
\\主机名\共享名\文件路径\\IP地址\共享名\文件路径支持的路径分隔符包括反斜杠(\)、斜杠(/)和冒号(:)。
注意
为满足Linux系统要求, GravityZone 在定义路径时支持最多4096个字符。若要在Windows系统中应用此限制,请确保目标机器的MAX_PATH参数设置支持该值。 详见微软文档 .
-
使用下拉菜单中的系统变量。
对于进程排除项,还需添加应用程序可执行文件的名称。
例如:
%ProgramFiles%- 排除Program Files文件夹%WINDIR%\system32– 排除Windows文件夹内的system32目录%SystemDrive%- 排除Windows文件夹所在的驱动器(通常为C盘注意
建议使用 系统变量 (在适用情况下)以确保路径在所有目标计算机上有效。
-
使用通配符。
星号(*)可替代零个或多个字符。双星号(**)可替代零个或多个字符。问号(?)仅替代一个字符。可使用多个问号定义特定数量的字符组合。例如,???可替代任意三个字符的组合。
例如:
C:\Test\*.*– 排除Test文件夹中的所有文件。C:\Test\*.png– 排除Test文件夹中所有PNG文件。C:\Test\*- 排除Test文件夹中的所有文件。**\file.txt- 排除所有名为file.txt的文件,无论其存储位置。**\my_folder\*\file.txt- 排除my_folder上级所有层级文件夹及my_folder下一级子文件夹中包含file.txt.C:\Program Files\WindowsApps\Microsoft.Not??.exe– 排除Microsoft Notes进程。
注意
-
在macOS系统中,星号(*)和问号(?)可替代路径分隔符(与Windows和Linux不同)。仅Windows系统中的双星号(**)可替代路径分隔符。
-
错误使用双星号(**)可能导致意外排除,建议谨慎操作。
-
macOS系统不支持双星号(**),仅可使用星号(*)和问号(?)作为通配符。
扩展名
输入要排除扫描的文件扩展名(多个扩展名用分号";"分隔)。输入时可带或不带前置点。例如输入
txt以排除文本文件。注意
在基于Linux的系统上,文件扩展名区分大小写,相同名称但不同扩展名的文件被视为不同对象。例如,
file.txt与file.TXT.文件哈希、证书哈希、威胁名称或命令行
根据排除规则输入文件哈希值、证书指纹(哈希值)、确切的威胁名称或命令行。每个排除项只能使用一个条目。
-
-
选择规则适用的扫描方法。某些排除项可能仅适用于其中一个扫描模块(实时扫描、按需扫描、ATC/IDS、勒索软件防护),而其他排除项可能建议适用于所有模块。
注意
默认情况下, 模块 字段会预选与所选 对象类型 .
-
点击
添加
按钮将其加入列表。
您还可以选择从CSV文件导入已定义的规则。
要从列表中删除已创建的排除项,只需点击
删除
图标。
-
在列表中定义完所有需要的排除规则后,点击 保存 .
新创建的列表将出现在 我的列表 区域。请参阅 将排除列表分配给策略 了解如何将排除列表分配给一个或多个策略。
将排除列表分配给策略
要将排除列表分配给一个或多个策略:
-
使用页面右上角的选择器选择公司。
-
从 排除列表 面板中选择所需的排除列表。
网格区域将显示所选列表分配的所有排除规则。
在此可添加新排除项、删除现有项或按多条件筛选。详见 排除项网格 有关如何配置网格区域和筛选排除项的更多详情,请参阅
-
点击列表名称可打开其侧边详情面板。
详情面板包含列表来源的常规信息、相关细节及可执行操作。
-
点击 编辑分配 可将排除列表分配至一个或多个策略。
-
从下拉菜单中选择需添加该排除列表内容的策略,并点击 应用 .
在 策略预览 区域可查看即将更新的策略。
-
点击 保存 以完成流程。
编辑排除列表
编辑排除列表步骤如下:
-
在左侧面板中点击列表名称。
-
在网格区域点击 编辑列表 按钮。
-
在配置页面可进行以下修改:
-
编辑标题
-
编辑描述
-
手动添加新排除项或通过CSV文件导入。
关于配置排除列表的详细信息,请参考 创建新排除列表 .
-
-
点击 更新 点击更新按钮以确认更改。
从被阻止应用程序报告添加排除项
要将排除项直接添加到 配置配置文件 部分,请从 被阻止应用程序 报告按以下步骤操作:
-
通过 报告 左侧菜单进入 控制中心 并创建 被阻止应用程序 报告。
有关报告配置的通用说明,请参阅 创建报告 .
-
创建报告后,进入详情区域并选择被 反恶意软件 和 高级反漏洞利用 模块阻止的进程。
-
点击 添加排除项 选项并选择 至配置文件 .
GravityZone 将跳转至 配置配置文件 部分。
-
在排除项网格中,每个选定的进程会自动创建一至两条记录,具体取决于拦截它的模块:
-
当被ATC/IDS模块拦截时,会生成一条进程排除记录。该排除规则会在 排除项 列显示路径并标注ATC/IDS模块。
-
当被反恶意软件模块拦截时,会生成两条记录:一条进程排除和一条文件排除。进程排除会在 排除项 列显示路径并标注实时防护和ATC/IDS模块;文件排除则会在 排除项 列显示路径,并标注与该
文件对象类型对应的所有模块。
-
-
点击
更多
图标并选择
编辑列表分配
可将这些排除项添加至任意列表。
-
点击 返回 按钮(位于 配置档案 部分左上角)可返回到 被拦截应用程序 报告。
删除排除列表
删除排除列表的操作步骤:
-
展开排除列表的详情面板,点击 删除 .
系统将显示确认消息,列出会移除该列表的策略,以及删除排除列表将影响的终端数量。
-
点击 删除 以执行删除操作,或点击 取消 退出操作。
监控用户活动变更
您可以在 用户活动 版块中查看对排除规则和排除列表所做的更改。
作为合作伙伴,您一次只能查看一家公司的变更记录。如需切换公司,请从页面右上角的下拉列表中选择其他公司。
当创建、编辑、删除排除规则或将其分配至列表时, 排除规则 区域会记录这些变更。若该排除规则被分配至多个列表, GravityZone 控制中心 会为每个受影响的 排除列表 区域生成记录。若列表被分配至策略,则 策略 区域也会生成相应变更记录。
例如:编辑一个被分配至三个列表的排除规则(其中某个列表关联了四条策略),将在 用户活动 :
-
一条记录对应排除规则变更;
-
三条记录对应受影响的排除列表;
-
四条记录对应受影响的策略。
所有记录均标记相同的创建日期和时间,便于您追踪查看。
GravityZone 会记录排除项的以下编辑元素:对象类型、排除项、模块及列表分配关系,但备注内容的变更不会被记录。