排除项
该 排除项 页面通过创建和管理可针对环境中每个区段配置文件定制的排除列表,增强您对策略内容的控制力。
这种单源排除管理系统允许您在策略之外创建和管理排除项及排除列表,从而无需通过策略间继承设置来复用排除项。
您可以在一个或多个列表中复用排除项,然后将这些列表分配给一个或多个策略,从而完全自由地定制免扫描内容。此外,当您将排除列表分配给策略时,可查看该变更将影响多少终端。
这将使策略更精简且更具针对性,从而提升整体环境性能与稳定性,并通过减少误报事件来降低SOC团队工作量。
重要提示
Bitdefender 安全代理可排除特定对象类型的扫描。反恶意软件排除项仅限特殊情况下使用,或遵循微软及 Bitdefender 建议。有关微软推荐排除项的最新列表,请参阅此 网页文章 .
该 排除项 页面包含两个主要区域:
-
排除项 列表 面板,您可以在其中创建和管理排除项列表。
-
排除项 页面 您可以在其中创建新的排除项,或管理已分配到排除项列表中的排除项。
排除项列表面板
在 排除项列表 面板中,您可以创建新列表并对其进行管理,还可以访问公司内其他具有管理网络权限的用户创建的所有可用列表。
-
我的列表 部分 仅包含您创建的排除项列表。
-
其他列表 部分 包含公司内所有具有管理网络权限的用户创建的所有可用排除项列表。
您可以通过点击 新建列表 按钮 新建列表 来创建新列表。
排除项网格
在 排除项网格 区域中,您可以从头开始创建新的排除规则,编辑和删除它们,使用广泛的筛选选项来管理现有排除项并将其分配到列表中。
-
如果您点击 所有排除项 列表部分顶部的栏,网格区域将显示您环境中迄今为止创建的所有排除规则,无论它们是否已分配到列表中。
-
如果您选择任何排除项列表,网格区域将仅显示分配到该列表的排除规则。
要自定义网格区域,您可以执行以下操作:
-
点击
显示/隐藏筛选器
按钮以显示或隐藏筛选栏。
-
点击
显示/隐藏列
按钮以添加或移除筛选列。
-
点击
刷新
按钮以刷新列表。
-
点击 清除 按钮以重置所有筛选条件。
搜索、筛选和排序排除项
网格区域为您提供多种搜索、筛选和排序选项。
您可以通过以下方式筛选/搜索:
-
对象类型 - 从下拉菜单中选择所需对象类型并点击 应用 以显示可用的排除规则。
-
排除项 - 输入排除项名称进行搜索,显示所有可能包含该项目的规则。
-
模块 - 选择所需的扫描技术,显示应用于该模块的所有排除规则。
-
备注 - 搜索包含特定关键词的排除规则,该关键词需添加到 备注 字段中。
对于排除项和备注,您可以在搜索中使用星号(*)作为通配符来匹配零个、一个或多个字符。例如,使用
*文本
查找所有包含
文本
.
要排序排除项,请点击各列标题,包括 列表 和 添加日期 .
创建并将排除项分配至列表
在 GravityZone 中,您可以单独创建排除项,然后将其单独或批量分配至一个或多个列表。
从头创建新排除规则并分配至列表:
-
点击 添加排除项 按钮,开始定义新排除规则。
-
从菜单中选择排除对象类型:
-
文件 :仅限指定文件
-
文件夹 :指定文件夹及其所有子文件夹内的全部文件和进程
-
扩展名 :具有指定扩展名的所有项目
-
进程 :被排除进程访问的任何对象
-
文件哈希 :具有指定哈希值(SHA-256格式)的文件
-
证书哈希 :指定证书哈希(指纹,SHA-1和SHA-2格式)下的所有应用程序和PowerShell脚本(适用于Windows终端)
-
威胁名称 :任何具有检测名称的项目(不适用于Linux操作系统)
-
带正则表达式的命令行 :使用正则表达式指定的命令行(仅适用于Windows操作系统)
-
命令行 :指定的命令行(仅适用于Windows操作系统)
-
IP/掩码 :进出该IP地址或IP掩码(0-255格式)的流量将被排除在扫描之外。
-
-
提供与所选排除类型相关的详细信息:
文件、文件夹或进程
输入要排除扫描的项目的路径。您有以下几种有用的路径书写方式:
-
显式声明路径。
例如:
C:\temp要为UNC路径添加排除项,请使用以下任一语法:
\\hostName\shareName\filePath\\IPaddress\shareName\filePath支持的路径分隔符为反斜杠(\)、斜杠(/)和冒号(:)。
-
使用通配符。
星号(*)替代零个或多个字符。双星号(**)替代零个或多个字符。问号(?)替代恰好一个字符。您可以使用多个问号来定义特定数量的字符组合。例如,???替代恰好三个字符的任意组合。
例如:
C:\Test\*.*– 排除Test文件夹中的所有文件。C:\Test\*.png– 排除Test文件夹中的所有PNG文件。C:\Test\*- 排除Test文件夹中的所有文件。**\file.txt- 排除所有名为file.txt的文件,无论这些文件位于何处。**\my_folder\*\file.txt- 排除所有位于my_folder上方各级文件夹及my_folder下方单级子文件夹中包含file.txt.**\application*.exe- 排除所有名称为application及其变体后接一个或多个字符的文件,无论其位置如何。C:\MyApp\**- 排除MyApp文件夹中的所有文件和子文件夹(无论层级深度)。C:\Program Files\WindowsApps\Microsoft.Not??.exe– 排除Microsoft Notes相关进程。
注意
-
在macOS系统中,星号(*)和问号(?)可替代路径分隔符(与Windows和Linux不同)。仅在Windows系统中双星号(**)可替代路径分隔符。
-
滥用双星号(**)可能导致非预期排除,建议谨慎使用。
-
macOS系统不支持双星号(**),仅可使用星号(*)和问号(?)作为通配符。
扩展名
输入一个或多个文件扩展名(用分号";"分隔)以排除扫描。扩展名可带或不带前置点。例如输入
txt可排除文本文件。注意
在Linux系统中,文件扩展名区分大小写,同名不同扩展名的文件视为独立对象。例如
file.txt与file.TXT.文件哈希、证书哈希、威胁名称、命令行或正则表达式命令行
根据排除规则输入文件哈希、证书指纹(哈希)、威胁的准确名称或命令行。每个排除项只能使用一个条目。
注意
命令行排除项 不支持通配符,仅支持纯文本排除。对于需要多路径匹配或可变进程的复杂情况,请使用 正则表达式命令行 排除项。
命令行示例:
npm install npx nx format tester.exe acceptance --run-all-tests
正则表达式命令行示例:
C\:\\Users\\[a-z]+\\Desktop\\app.exe param1 param2.value
-
-
选择规则适用的扫描方法。某些排除项可能仅适用于其中一个扫描模块(访问扫描、按需扫描、ATC/IDS、勒索软件缓解、LSASS保护),而其他排除项可能建议适用于所有模块。
-
可选地,点击 显示备注 按钮在 备注 列中添加关于规则的说明。
-
点击
添加
按钮。
新规则将被添加到列表中。
要从列表中删除规则,请点击对应的
删除
按钮。
重要提示
按需扫描排除项不适用于上下文扫描。上下文扫描通过右键单击文件或文件夹并选择 使用 Bitdefender端点安全工具扫描 .
要将排除规则分配至一个或多个列表:
-
在表格区域,点击
更多
按钮,然后选择
编辑列表分配
.
-
在配置页面中,从下拉菜单选择需添加该排除规则的列表,点击 应用 .
在 列表预览 区域可查看即将更新的排除列表。
-
点击 保存 完成操作。
要将多个排除规则分配至多个列表:
-
在表格区域选择一个或多个排除项。
-
点击 分配至列表 按钮。
-
在配置页面中,从下拉菜单选择需添加这些排除规则的列表,点击 应用 .
在 列表预览 区域可查看即将更新的排除列表。
-
点击 分配 完成操作。
内联编辑排除项
要内联编辑排除规则:
-
转到目标排除项,点击
更多
按钮并选择
编辑排除项
.
-
在以下列中修改内容:
-
排除项
-
模块
-
备注
-
-
点击
确认图标以保存更改。
导出排除项
要以CSV格式导出一个或多个排除项:
-
在网格中勾选对应复选框。
-
点击页面顶部的 导出所选 按钮。
-
在确认页面核对列出的排除项。仅显示前五个选中项,CSV文件将包含全部选择内容。
-
确认操作。
删除排除项
要删除特定排除项:
-
转到目标排除项,点击
更多
与
删除
按钮。
-
在确认窗口中查看受影响的列表及策略。
-
确认操作。
要删除多个排除项:
-
在表格中勾选对应的复选框。
-
点击表格上方的 删除 按钮。
-
在确认窗口中,查看受影响的排除项数量、列表及策略。
-
确认操作。
创建新的排除列表
要创建新的排除列表:
-
点击 新建列表 选项,打开定义新列表的窗口。
-
在 名称 字段中填写新列表名称。
注意
此字段为必填项。
-
在 描述 字段中添加列表的相关详细信息。
命名并描述列表后,即可开始定义排除规则。
-
从菜单中选择要排除的对象类型:
-
文件 :仅限指定文件。
-
文件夹 :指定文件夹及其所有子文件夹内的全部文件和进程。
-
扩展名 :具有指定扩展名的所有项目。
-
进程 :被排除进程访问的任何对象。
-
文件哈希 : 具有指定哈希值的文件。 GravityZone 支持SHA-256哈希算法。
-
证书哈希 : 指定证书哈希(指纹)下的所有应用程序和PowerShell脚本(适用于Windows终端)。
-
威胁名称 : 具有该检测名称的任何项目(不适用于Linux操作系统)。
-
命令行 : 指定的命令行(仅适用于Windows操作系统)。
-
IP/掩码 : 该IP地址或IP掩码(0-255格式)的进出流量将被排除在扫描之外。
警告
在与NSX集成的无代理VMware环境中,只能排除文件夹和扩展名。
-
-
提供所选排除类型的具体细节:
文件、文件夹或进程
输入要排除扫描的项目的路径。您有以下几种有用的路径书写方式:
-
显式声明路径。
例如:
C:\temp要为UNC路径添加排除项,请使用以下任意一种语法:
\\主机名\共享名\文件路径\\IP地址\共享名\文件路径支持的路径分隔符为反斜杠(\)、斜杠(/)和冒号(:)。
-
使用下拉菜单中可用的系统变量。
对于进程排除,您还必须添加应用程序可执行文件的名称。
例如:
%ProgramFiles%- 排除Program Files文件夹%WINDIR%\system32– 排除Windows文件夹中的system32目录注意
建议使用 系统变量 (如适用)以确保路径在所有目标计算机上有效。
-
使用通配符。
星号(*)匹配零个或多个字符。双星号(**)匹配零个或多个字符。问号(?)精确匹配一个字符。可通过多个问号定义特定数量的字符组合,例如???匹配任意三个字符的组合。
例如:
C:\Test\*.*– 排除Test文件夹中的所有文件。C:\Test\*.png– 排除Test文件夹中所有PNG文件。C:\Test\*– 排除Test文件夹中的所有文件。**\file.txt– 排除所有名为file.txt的文件,无论其存储位置。**\my_folder\*\file.txt– 排除my_folder之上所有层级目录及my_folder下一级子目录中包含file.txt.C:\Program Files\WindowsApps\Microsoft.Not??.exe– 排除Microsoft Notes相关进程。
注意
-
在macOS系统中,星号(*)和问号(?)可替代路径分隔符(与Windows和Linux不同)。仅Windows系统的双星号(**)可替代路径分隔符。
-
双星号(**)若使用不当可能导致非预期的排除,因此建议谨慎使用。
-
macOS系统不支持双星号(**),仅可使用星号(*)和问号(?)作为通配符。
扩展名
输入一个或多个文件扩展名(以分号";"分隔)以排除扫描。扩展名可带或不带前置点,例如输入
txt可排除文本文件。注意
在Linux系统中,文件扩展名区分大小写,同名不同扩展名的文件视为独立对象。例如
file.txt与file.TXT.文件哈希、证书哈希、威胁名称或命令行
根据排除规则类型输入文件哈希值、证书指纹(哈希值)、威胁全称或命令行。每个排除项仅允许使用一个条目。
-
-
选择该规则适用的扫描方法。某些排除项可能仅适用于特定扫描模块(实时扫描、按需扫描、ATC/IDS、勒索软件防护),而其他排除项可能推荐应用于所有模块。
注意
系统将根据所选 模块 自动预勾选与 对象类型 .
-
点击
添加
按钮将其加入列表。
您也可选择从CSV文件导入已定义的规则。
要从列表中移除任何已创建的排除项,只需点击
删除
图标。
-
在列表中定义完所有需要的排除规则后,点击 保存 .
新创建的列表将在 我的列表 部分中显示。参见 将排除列表分配给策略 了解如何将排除列表分配给一个或多个策略的详细信息。
将排除列表分配给策略
要将排除列表分配给一个或多个策略:
-
从 排除列表 面板。
网格区域将显示所选排除列表分配的所有排除规则。
在此您可以新增排除项、删除现有项或通过多种条件筛选。具体操作请参阅 排除规则网格 了解如何配置网格区域及筛选排除项的详细信息。
-
点击列表名称可打开其侧边详情面板。
详情面板包含列表来源的基本信息、相关细节及可执行操作。
-
点击 编辑分配 可将排除列表分配给一个或多个策略。
-
从下拉菜单中选择需添加该排除列表的策略,然后点击 应用 .
在 策略预览 区域可查看即将更新的策略。
-
点击 保存 以完成流程。
注意
要使分配的排除列表生效,请确保在策略的 反恶意软件 > 设置 部分中已勾选 配置配置文件排除项 复选框。
编辑排除列表
要编辑排除列表:
-
点击左侧面板中的列表名称。
-
在网格区域中,点击 编辑列表 按钮。
-
在配置页面中,您可以进行以下修改:
-
编辑标题
-
编辑描述
-
手动添加新排除项或从CSV文件导入。
有关配置排除列表的详细信息,请参阅 创建新排除列表 .
-
-
点击 更新 按钮确认更改。
从被阻止应用程序报告中添加排除项
要将排除项添加到 配置配置文件 部分(直接来自 被阻止应用程序 报告),请按以下步骤操作:
-
进入 报告 部分(通过 控制中心 左侧菜单),并创建 被阻止应用程序 报告。
有关报告配置的通用说明,请参阅 创建报告 .
-
创建报告后,进入详情区域,选择被 反恶意软件 和 高级反漏洞利用 模块。
-
点击 添加排除项 选项并选择 到配置文件 .
GravityZone 将跳转至 配置档案 版块。
-
在排除项网格中,每个选定进程会根据拦截模块自动创建一至两条记录:
-
被ATC/IDS模块拦截时生成一条进程排除项。该排除规则会在 排除项 列显示路径并标注ATC/IDS模块。
-
被反恶意软件模块拦截时生成两条记录:一条进程排除项和一条文件排除项。进程排除项在 排除项 列显示路径并标注实时防护和ATC/IDS模块;文件排除项在 排除项 列显示路径并标注与
文件对象类型对应的所有模块。
-
-
点击
更多
图标并选择
编辑列表分配
即可将这些排除项添加至任意列表。
-
点击界面左上角的 返回 按钮 配置档案 部分以返回 被阻止的应用程序 报告。
删除排除列表
要删除排除列表:
-
展开排除列表的详细信息面板并点击 删除 .
系统将提示您确认消息,显示将移除该列表的策略,以及如果您决定删除排除列表将影响多少终端。
-
点击 删除 以完成删除操作,或点击 取消 退出操作。
监控用户活动中的更改
您可以在 用户活动 部分中监控对排除规则和排除列表所做的更改。
当创建、编辑、删除或将排除规则分配给列表时, 排除规则 区域的条目会指示这些更改。如果排除规则分配给多个列表, GravityZone 控制中心 会为 排除列表 区域的每个受影响列表显示一个条目。如果列表分配给策略,则 策略 区域的条目也会指示此更改。
例如,编辑一个分配给三个列表的排除规则(其中一个列表分配给四个策略),会在 用户活动 :
-
一条记录对应排除规则。
-
三条记录对应受影响的排除列表。
-
四条记录对应受影响的策略。
所有记录均具有相同的创建日期和时间,便于您进行监控。
GravityZone 会记录排除项的以下编辑元素:对象类型、排除项、模块及列表分配。但该部分不会记录备注的变更。