>-Autoproteção de Em Comum

Como determinar se a proteção automática está bloqueando o aplicativo

• O problema não ocorre mais após a desativação da autoproteção na Endpoint Security política de Em Comum, na categoria opções, em mostrar a proteção avançada, autoproteção ativar autoprotecção.
• O SelfProtection_Activity.log indica que o aplicativo foi impedido de executar uma operação e que o bloqueio resultou em um problema para o aplicativo.

Como impedir a autoproteção de bloquear um aplicativo

• Adicione uma exclusão para o processo que a proteção automática está bloqueando.
• Desativar autoproteção (não recomendável).

Proteção de acesso Prevenção contra ameaças->

Como determinar se a proteção de acesso está bloqueando o aplicativo

• O problema não ocorre mais após desativar a proteção de acesso na política de Prevenção contra ameaças do Endpoint Security, categoria Proteção de acesso, Proteção de acesso, Ativar a proteção de acesso.
• O AccessProtection_Activity.log indica que o aplicativo foi impedido de executar uma operação (e que o bloqueio resultou em um problema para o aplicativo).

Como evitar que a proteção de acesso bloqueie um aplicativo

• Identifique a regra de proteção de acesso que o processo violou e exclua o processo dessa regra.

Prevenção contra ameaças -> Mecanismo de varredura ao acessar

O mecanismo de varredura ao acessar (OAS) é o mecanismo de varredura em tempo real que é executado continuamente. Ele varre os arquivos à medida que são acessados para LEITURA ou depois de terem sido alterados (GRAVAÇÃO). Alguns dos recursos que fazem parte do Proteção adaptável contra ameaças dependem das configurações do OAS. Por exemplo, o Real Protect não aplica sua varredura adicional a um processo que foi excluído da varredura do OAS.

Como determinar se o mecanismo de varredura ao acessar está bloqueando o aplicativo

• O problema não ocorre mais após desativar o mecanismo de varredura ao acessar na política do Endpoint Security, categoria Mecanismo de varredura ao acessar, , Ativar mecanismo de varredura ao acessar.
• O OnAccessScan_Activity.log contém informações de detecção para o aplicativo ou seus arquivos.

Como evitar que os mecanismo de varredura ao acessar bloqueiem um aplicativo

• Adicione uma exclusão de arquivo para o aplicativo ou seus arquivos, como excluir a pasta que contém esses arquivos.
• Use a ferramenta GetClean e, se ela identificar o aplicativo ou seus arquivos como itens a serem enviados para a McAfee, continue a enviar os detalhes de arquivo para McAfee.

Prevenção contra ameaças -> Prevenção de exploração

A prevenção de exploração protege os programas de explorações de vulnerabilidade do código. Se você achar que esse recurso afeta o comportamento de um aplicativo de terceiros, é provável que o aplicativo de terceiros contenha comportamento de exploração, como a execução de código de memória somente leitura. Portanto, mesmo que você encontre uma solução alternativa para o sintoma desativando o recurso ou criando uma exclusão, é aconselhável buscar uma solução de longo prazo do fornecedor de aplicativos de terceiros. Uma solução de longo prazo protege você da execução de códigos potencialmente vulneráveis em seu ambiente.

Como determinar se a prevenção de exploração está bloqueando o aplicativo

• O problema não ocorre mais após a desativação de um dos seguintes recursos de prevenção de exploração na política Endpoint Security Prevenção contra ameaças, categoria Prevenção de exploração:
  • Prevenção contra escalonamento de privilégios genéricos (GPEP): esse recurso está desativado por padrão.
  • Prevenção de execução de dados (DEP) do Windows e exclusões DEP: a DEP está desativada por padrão.
  • Assinaturas: somente assinaturas de alta gravidade são ativadas por padrão.
  • Regras de proteção de aplicativos: os processos explicitamente nomeados são monitorados por padrão. Você pode ter adicionado outros processos por conta própria.
• O ExploitPrevention_Activity log indica que o aplicativo foi bloqueado.

Como evitar que a prevenção de exploração bloqueie um aplicativo

• Para que a prevenção de escalonamento de privilégios genérica seja desativada, desative o recurso.
• Para a Prevenção de execução de dados do Windows, adicione uma exclusão para o processo que está sendo monitorado ou desative a DEP.
• Para assinaturas, defina a assinatura relevante como somente relatar ou desative bloquear e relatar.
• Para as Regras de proteção de aplicativos, desative a regra que está bloqueando o processo aplicável.

Prevenção contra ameaças -> ScriptScan

O ScriptScan é aplicável somente se o processo afetado for Internet Explorer, ou qualquer complemento ou funcionalidade que dependa do Internet Explorer. Um objeto auxiliar de navegador é usado para facilitar a varredura de scripts carregados pelo Internet Explorer.

Como determinar se o ScriptScan está bloqueando o aplicativo

• O problema não ocorre mais após desativar o ScriptScan na política do Endpoint Security, categoria Mecanismo de varredura ao acessar, , Ativar ScriptScan.

Como evitar que o ScriptScan bloqueie um aplicativo

• Exclua o URL ou o domínio se o problema de compatibilidade for específico de um determinado URL ou página da Web.
• Desative o ScriptScan.

Proteção adaptável contra ameaças -> Confinamento dinâmico de aplicativos

O Confinamento dinâmico de aplicativos (DAC) usa outras regras de proteção de acesso baseadas em comportamento para monitorar um processo confinado. Um processo confinado é aquele que atingiu a pontuação de reputação conforme configurado para o DAC, e que a inteligência contra ameaças ou outra funcionalidade de produto tenha aconselhado o DAC a conter. Um processo confinado por DAC pode ser bloqueado porque as regras de DAC podem impedir que o processo execute determinadas atividades. (Cada regra de DAC ativada define essas atividades.)

Como determinar se o confinamento dinâmico de aplicativos está bloqueando o aplicativo

• A ID de evento 37275 "Aplicativo confinado" está presente no log de eventos de ameaça do sistema afetado do ePolicy Orchestrator e encontrada localmente no log de eventos do console do ENS do sistema afetado.
• O DynamicApplicationContainment_Activity.log inclui o texto indicando o aplicativo ", que estava sob a solicitação de" um produto ou recurso.
• O problema não ocorre mais se o DAC estiver configurado para usar o modo de observação somente na política de Proteção adaptável contra ameaças do Endpoint Security, categoria Opções, seção Imposição de ação, Ativar modo de observação. (Os eventos são gerados, mas a política não é imposta).

Como impedir que o confinamento dinâmico de aplicativos bloqueie um aplicativo

• Desative a regra de DAC aplicável ou desmarque a opção "bloquear" para essa regra.
• Exclua o processo na política de exclusão de DAC.
• Use o Servidor Threat Intelligence Exchange para definir manualmente uma boa reputação conhecida para o processo.

Proteção adaptável contra ameaças-> Real Protect

Como determinar se o Real Protect está bloqueando o aplicativo

• O problema não ocorre mais após a desativação da opção "Ativar varredura baseada em cliente" ou "Ativar varredura baseada na nuvem" na política da Proteção adaptável contra ameaças do Endpoint Security, categoria Opções, seção Varredura do Real Protect.
• O AdaptiveThreatPrevention_Activity.log registra uma detecção do aplicativo (por exemplo, Orchestrator.Action.Activity: Action Details: File: , Mode: Enforce , Scanner: Real Protect Client , Reputation: , ActionTaken: Clean).
• O AdaptiveThreatPrevention_Debug.log registra uma detecção estática do aplicativo (por exemplo, Orchestrator.RealProtectStatic.Debug: File: : RP Static reputation classification 1 silent 0 detection name JCM reputation (a entrada importante é o valor de classificação 1)).
• O AdaptiveThreatPrevention_Debug.log registra uma detecção na nuvem do aplicativo (por exemplo, Orchestrator.RepChangeListener.Debug: real protect cloud found in process id , file ).

Como impedir que o Real Protect bloqueie um aplicativo

• Use exclusões de mecanismo de varredura ao acessar para excluir os arquivos que estão sendo detectados.
  NOTA: As exclusões de mecanismo de varredura ao acessar também impedem que a Proteção adaptável contra ameaças solicite que o Confinamento dinâmico de aplicativos contenha um processo.
• Use o Servidor Threat Intelligence Exchange para alterar a reputação empresarial dos arquivos, conforme apropriado.
• Use Servidor Threat Intelligence Exchange para adicionar o certificado dos arquivos desejados.

Firewall-> Global Threat Intelligence (GTI)

Consulte o artigo a seguir para obter detalhes sobre a funcionalidade e a solução de problemas do GTI para firewall do ENS.
KB90837-perguntas frequentes sobre Firewall do Endpoint Security Global Threat Intelligence

Firewall -> bloqueou o tráfego de rede

Consulte o artigo a seguir para obter detalhes sobre a solução de problemas de um aplicativo bloqueado ou de um tráfego de rede bloqueado.
KB90662-como solucionar problemas de um aplicativo ou tráfego de rede ao usar o Firewall do Endpoint Security