En este artículo se proporcionan directrices sobre cómo crear exclusiones de archivos y directorios con ENSLTP.
Configure exclusiones para los equipos gestionados de ePolicy Orchestrator (ePO) en la siguiente ubicación:
- Inicie sesión en la consola de ePO.
- Haga clic en Menú, Directivas, Catálogo de directivas.
- Seleccione Endpoint Security Prevención de amenazas en la lista desplegable producto.
- Seleccione Análisis en tiempo real en la lista desplegable Categoría.
- Haga clic en el nombre de la Directiva.
- Haga clic en Mostrar avanzado.
- Desplácese hasta la la sección Configuración de proceso Exclusiones Enumere.
Cuando se configuran exclusiones por nombre de archivo y ruta, se utilizan tres tipos de símbolos de exclusión de caracteres comodín en ENSLTP:
- Único asterisco: * : Se utiliza para representar nombres de archivo parciales o extensiones con uno o varios caracteres de la posición exacta en la que se coloca en la ruta o el archivo especificados.
- Asterisco doble: ** : Suele utilizarse para nombres de archivo parciales o extensiones con uno o varios caracteres de la posición exacta en la que se coloca en la ruta o el archivo especificados.
- Interrogación de cierre: ? : Se utiliza para la sustitución de un carácter individual en los nombres de archivo y de directorio. Este carácter comodín ofrece más control sobre las exclusiones.
Cuando se establecen exclusiones por tipo de archivo, solo se puede utilizar el símbolo de exclusión de caracteres comodín de signo de interrogación en ENSLTP:
- Interrogación de cierre: ? : Se utiliza para la sustitución de carácter único en cadenas de tipo de archivo. Este carácter comodín ofrece más control sobre las exclusiones.
En las secciones siguientes se explica cómo utilizar estos caracteres comodín correctamente.
Asterisco único para las exclusiones de nombre de archivo o ruta
Para indicar nombres de directorios únicos, utilice un solo asterisco (
*Car. Por ejemplo, la exclusión
/data/*/sub/ excluiría las siguientes carpetas:
/data/1/sub/
/data/name2/sub/
/data/backup/sub/
Para indicar coincidencias parciales de nombres de archivos o coincidencias de extensiones de caracteres comodín, utilice un solo asterisco (
*Car. Por ejemplo:
/data/abc*.raw
/data/abc.*
NOTA: No utilice barras diagonales inversas al final para las coincidencias de nombre de archivo. Al hacerlo, se excluyen los elementos incorrectos. Para aclarar este punto importante, examine los dos ejemplos siguientes:
La primera exclusión se trata como un nombre de archivo y la segunda se trata como un directorio.
Cuando se implementa la Directiva en el sistema, el comando local muestra lo siguiente para los ejemplos anteriores:
ENSLTP 10.6.6 y posteriores:
# /opt/McAfee/ens/threatprevention/bin/isecav --getoasconfig --exclusionlist --profile standard
ENSLTP 10.6.5 y versiones anteriores:
# /opt/isec/ens/threatprevention/bin/isecav --getoasconfig --exclusionlist --profile standard
Index Item Exclude Subfolder When to exclude
1 /data/*/sub/ Disabled readandwrite
2 /data/def/ Disabled readandwrite
3 /data/abc Not Applicable readandwrite
El resultado es que "excluir subcarpeta" se muestra como "no aplicable" para el elemento de exclusión
/data/abc (index 3) porque se ha especificado sin barras diagonales inversas al final. Por lo tanto, el elemento se considera una ruta de archivo.
Doble asterisco para exclusiones de directorio
Asteriscos dobles (**) permitir una exclusión de directorio más amplia denominada exclusión de varias profundidades. Estas exclusiones son donde pueden aparecer varias veces el mismo nombre de carpeta de destino en los subdirectorios que se originan en un directorio común.
Por ejemplo, un directorio denominado "cache" puede existir en uno o varios subdirectorios en cualquier nivel de la
/data Active
/data/user/tom/cache/
/data/user/jim/cache/
/data/admin/cache/
/data/user/family/a1/b2/cache/
El siguiente ejemplo utiliza un asterisco doble para excluir el contenido de cualquier directorio denominado cache en la sección
/data Active
Cuando se implementa la Directiva en el sistema, el comando local muestra lo siguiente en el ejemplo anterior para el elemento de exclusión
/data/**/cache/ (Índice 1):
ENSLTP 10.6.6 y posteriores:
# /opt/McAfee/ens/threatprevention/bin/isecav --getoasconfig --exclusionlist --profile standard
ENSLTP 10.6.5 y versiones anteriores:
# /opt/isec/ens/threatprevention/bin/isecav --getoasconfig --exclusionlist --profile standard
Index Item Exclude Subfolder When to exclude
1 /data/**/cache/ Disabled readandwrite
2 /data/*/sub/ Disabled readandwrite
3 /data/def/ Disabled readandwrite
4 /data/abc Not Applicable readandwrite
Interrogación para las exclusiones de tipo de archivo
Utilice un carácter comodín de signo de interrogación para indicar la sustitución de un solo carácter en cadenas de tipo de archivo. Por ejemplo, puede utilizar el carácter comodín de marca de interrogación para cualquiera de los tres caracteres siguientes:
Cuando se implementa la Directiva en el sistema, el comando local muestra lo siguiente en el ejemplo anterior para el elemento de exclusión
A?C (índice 6):
ENSLTP 10.6.6 y posteriores:
# /opt/McAfee/ens/threatprevention/bin/isecav --getoasconfig --exclusionlist --profile standard
ENSLTP 10.6.5 y versiones anteriores:
# /opt/isec/ens/threatprevention/bin/isecav --getoasconfig --exclusionlist --profile standard
Index Item Exclude Subfolder When to exclude
1 /data/**/cache/ Disabled readandwrite
2 /data/*/sub/ Disabled readandwrite
3 /data/def/ Disabled readandwrite
4 /data/abc Not Applicable readandwrite
5 /data/time-? Not Applicable readandwrite
6 A?C