每台電腦防護都有其自己的 Application Control 軟體規則集。您可以:
-
查看 Application Control 軟體規則集 並找出它們包含哪些規則。
秘訣
當您首次為電腦啟動 Application Control 時,電腦上安裝的軟體會被添加到電腦的清單中並允許運行。然而,除非您使用 Deep Security 傳統 REST API,否則您無法從 Server & Workload Security保護 查看與清單相關的規則(請參閱 使用 API 存取進階 Application Control 功能)。在 Server & Workload Security保護 控制台中,電腦的規則集在您為電腦創建一些允許/封鎖規則之前會顯示為空白。 -
刪除個別的 Application Control 軟體規則集規則,如果該軟體已被移除且不太可能再出現。
-
刪除 Application Control 軟體規則集,如果與規則集相關的電腦已被移除。
|
秘訣如果有使用者回報 Application Control 封鎖了他們需要在特定電腦上執行的軟體,您可以在該電腦上撤銷封鎖規則。前往,找到該電腦,定位封鎖事件,然後點選View Rules。在出現的彈出視窗中,您可以將封鎖規則更改為允許規則。
|
查看 Application Control 軟體規則集 
若要查看 Application Control 軟體規則集列表,請前往 。
若要查看哪些規則屬於規則集,請雙擊規則集並轉到Rules標籤。規則標籤顯示與之相關的軟體檔案,並允許您將允許規則更改為封鎖,反之亦然。(請參閱更改一個Application Control規則的操作。)
安全事件
顯示所有在電腦防護上執行或被主動封鎖的未識別軟體。您可以依據時間範圍和其他條件篩選此清單。欲了解詳細資訊,請參閱 Application Control 事件。
對於每個事件(聚合事件除外),您可以點選View rules來將規則從允許更改為封鎖,或反之亦然。
代理程式的 10.2+ 版本包含事件聚合邏輯,以減少相同事件重複發生時的日誌量。(請參閱 解釋聚合的安全事件。)
更改 Application Control 規則的操作
如果您想允許先前已封鎖的軟體(或相反),您可以在規則中編輯操作。如果您需要撤銷規則,使軟體不被 Application Control 認識(換句話說,刪除規則,而不僅僅是更改其操作),請參閱
刪除單個 Application Control 規則。
步驟
- 前往 。
- 雙擊以選擇包含您要更改的規則的規則集。
- 在出現的彈出視窗中,前往Rules標籤。
- 如果您想專注於已封鎖(或允許)的軟體,請在Application Control Rules旁邊的選單中選擇By Action以分組相似的規則。或者,您可以使用搜尋來篩選列表。
如果您想更改軟體檔案的操作,但它有多個不同的檔案名稱,請選擇By File Name來分組相關規則。 - 找到您想允許或封鎖的特定軟體的行。
- 在處理行動欄中,將設定更改為允許或封鎖,然後點選確定。當代理程式下次連接到Server & Workload Security保護時,規則將會更新,且版本號將會增加。
接下來需執行的動作
刪除單個Application Control規則
如果您想撤銷您創建的規則,請前往,雙擊包含該規則的規則集,前往Rules標籤,選擇該規則,然後點選刪除。
需要注意的事項:
- 當規則不再需要時,您可以刪除它們以減少規則集的大小。這可以通過減少 RAM 和 CPU 使用率來提高性能。
- 如果您刪除規則,Application Control 將不再識別該軟體。如果該軟體再次安裝,它將再次出現在Actions標籤上。
- 如果軟體更新不穩定且您可能需要降級,請保留允許還原到先前軟體版本的規則,直到您完成測試。
- 要查找最舊的規則,請前往,然後點選Columns。選擇Date/Time (Last Change),點選確定,然後點選該欄的標題以按日期排序。
刪除 Application Control 規則集
如果某個 Application Control 規則集不再使用(例如,與該規則集相關聯的電腦防護不再存在),您可以刪除它。
要刪除規則集,請前往,點選一個規則集以選取它,然後點選刪除。