Ajouter des exceptions sur les logs

Si après avoir analysé un log, vous considérez que l'action qui l'a déclenché n'était pas malveillante et qu'elle n'aurait pas dû être bloquée, vous pouvez ajouter une exception sur ce log. Cela évitera que cette action soit à nouveau bloquée et/ou ne génère un log. De même, si vous considérez qu'un fichier a été mis en quarantaine à tort, ajoutez une exception sur le log de quarantaine.

L'ajout d'une exception entraîne la création d'une nouvelle règle d'exceptions dans le jeu de règles d'exceptions de votre choix.

Dans le panneau Environnement > Logs agents, sélectionnez un ou plusieurs logs que vous ne souhaitez plus générer à l'avenir.
Faites un clic droit, puis cliquez sur Ajouter des exceptions. L'assistant Créer des règles d'exceptions s'affiche, permettant de visualiser la ou les règles qui seront créées par SES Evolution.
Dépliez les différents encadrés pour afficher toutes les informations sur les règles. La ou les politiques concernées par ces règles sont visibles en haut à droite.
Modifiez les règles à votre convenance :
1. Dans la liste déroulante Jeu de règles, sélectionnez dans quel jeu de règles seront créées les règles d'exceptions : un jeu existant de type Exceptions ou un jeu créé pour l'occasion accompagné de l'étiquette NEW.
  Cliquez sur le bouton Crayon pour modifier le nom et le type du jeu de règles, ou sur le bouton Œil pour le visualiser.
2. Décochez les règles ou les groupes de règles que vous ne souhaitez pas créer.
3. Si nécessaire, modifiez l'intention des règles, le commentaire, l'identifiant d'application, ou le comportement pour chaque action. Pour plus d'informations, reportez-vous à la section Définir les règles de contrôle d'accès
4. Cliquez sur le bouton d'une règle pour réinitialiser ses valeurs d'origine.
Cliquez sur Valider.
Les opérations suivantes sont automatiquement effectuées :
- Ajout d'une ou plusieurs règles dans le Jeu de règles d'exceptions sélectionné. Ces règles permettent d'éviter qu'un blocage se produise dans des circonstances identiques. Les identifiants d'applications ou de fichiers nécessaires aux règles sont également créés si nécessaire.
- Attribution de l'état Faux positif au log concerné, et mention de l'utilisateur qui a ajouté l'exception.
- Ajout du commentaire "Exception automatique créée à partir de ce log" dans le log.
- Dans le cas d'une exception sur un fichier mis en quarantaine, le fichier sera automatiquement restauré à son emplacement d'origine au prochain déploiement de l'environnement.
Si besoin, vous pouvez consulter ou modifier la règle d'exceptions créée à partir du log :
1. Affichez votre log en activant le filtre Faux positif.
2. Passez la souris sur les trois points à droite de la ligne du log et choisissez le menu Voir la règle d'exceptions.
La règle d'exceptions correspondant à ce log s'affiche. Elle se distingue des autres règles par une barre bleue sur la gauche.
Si la règle est introuvable, c'est qu'elle a été supprimée entre-temps.

Cas particuliers

Si vous demandez la création d'exceptions sur plusieurs logs similaires mais non identiques, l'assistant affiche une règle d'exceptions pour chaque log :

Dans ce cas, vous pouvez modifier l'identifiant de l'une des règles pour l'étendre aux autres règles similaires en utilisant les caractères génériques * et ?.
Dans l'exemple ci-dessus, vous pouvez modifier l'identifiant de fichiers en c:\tmp\Log\Log* pour inclure tous les logs similaires dans une même règle d'exceptions.

Les autres règles similaires qui correspondent au nouvel identifiant sont automatiquement désélectionnées dans l'assistant, et deviennent des faux-positifs après la validation.
Si le log sélectionné est liée à une politique qui n'existe plus, vous en êtes informé et vous pouvez choisir ou non de passer le log dans l'état Faux-positif en activant le bouton Définir l’événement comme faux-positif.