Ekskluderinger og Blacklist

I SentinelOne kan eksluderinger laves på flere forskellige måder, men normalt vil man enten lave dem i forbindelse med en threat eller manuelt direkte på en mappe. I denne guide vil vi gennemgå de 2 muligheder, samt hvilke indstillinger der findes.

Det er vigtigt at huske, at hver gang man lave en ekskludering, tillader man potentielt noget uønsket at bliver afviklet fra den givne mappe.

I SentinelOne gælder en ekskludering for alle de maskiner som ligger i samme mappe. Så det kan godt betale sig at lave flere mapper, så ikke alle maskiner skal dele de samme ekskluderinger.

Dette kunne enten være ved at lave mapper, hvor man delte underkunder op i, eller man lagde server ind, med en bestemt type applikation installeret (SQL, Exchange osv):

Hvis man lave ekskluderinger på "site" niveau, så vil alle underliggende mapper nedarve dem.


Ekskludering fra threats

Hvis klienten har stoppet en fil eller process, og derved optræder som en threat i kontrol panelet, så vil den stå som sådan

Hvis dette vurderes at være en falsk positiv, kan man lave en ekskludering direkte på denne.
Klik ind på den enkelte "threat" og herefter på "Actions" øverste i højre hjørne, og vælg "Add to Exclusions".

Man vil så kunne se den hash værdi filen har, og evt ændre i den beskrivelse der står om filen -som udgangspunkt vil beskrivelsen blot indeholde stien til hvor filen blev fundet.





Manuelt oprettede ekskludering

Man kan naturligvis også oprette ekskluderinger på filer og mapper, som man typisk kender det fra andre antivirus produkter. 


Gå til menu punktet "Sentinels" i venstre side, og vælge derefter "Exclusions" i toppen af menu baren: