Blog

Endpoint Detection and Response (EDR) detecta una app segura. ¿Cómo incluir en la lista blanca la detección?

Elements Endpoint Detection and Response (EDR) detecta una aplicación segura. ¿Cómo incluir en la lista blanca la detección?

Asunto:

WithSecure Elements Endpoint Detection and Response (EDR) detecta una aplicación segura (por ejemplo, una aplicación interna). ¿Cómo incluir en la lista blanca la detección?

Resolución:

Para incluir un archivo en la lista blanca directamente, complete lo siguiente:

  1. Inicie sesión en Elements Security Center aquí.
  2. Seleccione la sección Detección y respuesta de puntos finales en la barra de navegación más a la izquierda en Elements Security Center.
  3. Vaya a la pestaña Detecciones, marque la casilla de verificación Detecciones de contexto amplio.
  4. Haga clic en la opción “Actualizar estado” en la página inferior.
  5. Seleccione “Cerrado” en el menú desplegable, luego seleccione el motivo como “Falso positivo”.
  6. Haga clic en la opción “Actualizar”.

Una vez que tenga al menos 1 incidente que sea idéntico al incidente, y no haya ningún incidente idéntico cuyo estado sea cerrado como confirmado, el manejo de falsos positivos en WithSecure Elements Endpoint Detection and Response (EDR) cerrará el falso positivo automáticamente.

Las detecciones de contexto amplio se pueden cerrar automáticamente como falsos positivos automáticos cuando son idénticas a las falsas alarmas previamente cerradas. Para que WithSecure Elements Endpoint Detection and Response cierre una detección de contexto amplio como falso positivo automático, se deben cumplir los siguientes criterios:

  • El incidente tiene que ser Nuevo/No confirmado,
  • Debe haber cerrado un incidente idéntico en la misma organización que Falso positivo, y
  • No se han confirmado incidentes idénticos en la misma organización.

Puede encontrar más información sobre el manejo automático de incidentes aquí.

En el caso de que esto se haya completado varias veces y el archivo aún se detecte, realice una solicitud de lista blanca para el evento Falso positivo de la siguiente manera:

  1. En el menú de la izquierda en WithSecure Elements Endpoint Detection and Response (EDR), haga clic en los tres puntos debajo de Informes y seleccione Soporte.
  2. Haga clic en el enlace Solicitar inclusión en la lista blanca, aparecerá un formulario de solicitud de soporte.
  3. Verifique que los siguientes campos se completen correctamente:

    Categoría del problema -> Amenaza/Malware
    Subcategoría de problema -> Falso positivo
    Grupo de productos -> Para empresas
    Nombre del producto -> Detección y respuesta rápidas
    Idioma -> Inglés

  4. En Descripción, proporcione el ID de detección de contexto amplio (BCD-ID), una razón por la que este contenido debe incluirse en la lista blanca y el alcance (host único, nivel de empresa, etc.)
  5. Complete el resto de la información requerida del caso. La información correcta y completa nos ayuda a identificarlo y brindarle el nivel de servicio adecuado.
  6. Haga clic en Enviar para abrir el ticket de soporte.

Sea parte del
programa de socios