To submit a false positive case:
- 登錄到支援部門. 或者,如果您已登錄但在eSupport中,請透過標題導航至我的支持。
-
在側面導航欄中,點擊新建請求。
-
填寫產品資訊和受影響的操作系統類型。請求類型字段默認值是“提交案例”選項。無需更動。
-
選擇適當的類別:病毒錯誤警報。
-
輸入OSCE版正在使用的掃描引擎版本和病毒碼類型。
-
輸入主題並描述問題,包含您的案例之檢測名稱。請在附件中上傳檢測錯誤的病毒樣本。
-
填寫案例緊急情況,CC電子郵件和聯繫方式。
-
點擊提交按鈕。
根據不同的檢測類型,OSCE將檢測到的文件存儲在不同的位置。
請參閱以下步驟來檢索錯誤檢測到的文件:
在OSCE XG中,有幾種不同的檢測類型可以防範各種威脅。
如果您遇到誤報,請參閱下面的檢測類型以檢索樣本並將其提交給趨勢科技進行進一步分析:
-
識別檢測名稱類型。以下是病毒掃描檢測的示例:
-
在隔離區目錄中查找樣本:
。在伺服器端,切換至伺服器安裝資料夾\PCCSRV\Virus。樣品將使用檢測到的代理的主機名重新命名。-
在用戶端,切換到代理程式安裝資料夾\Suspect\Backup。
樣品將以* .qtn擴展名重新命名。
-
-
如何恢復被隔離檔案並將其加入例外:
a.OSCE主控台>用戶端>用戶端管理>選擇群組右鍵>工作>中央隔離區還原-
使用中央隔離區還原,將自動將檢測到的文件新增到掃描例外清單。
- VSEncode.exe:
-
該工具位於[OSCE伺服器安裝資料夾]/PCCSRV/Admin/Utility/VSEncrypt中。
- 在命令提示自元中執行以下指令:
VSEncode.exe /d /f [filename]
使用VSEncode.exe不會將檢測到的文件新增到掃描排除列表中。您需要手動新增以避免檔案再次被檢測到。 -
-
-
識別檢測名稱類型。以下是Predictive Machine Learning檢測的示例。
預測性機器學習檢測將在其檢測名稱中包含.XXPE或.XXBP。
-
在隔離目錄中查找樣本。默認值是伺服器安裝路徑\PCCSRV\Virus,
但可以通過隔離管理器進行設定。樣本將使用檢測到的代理的主機名重新命名。在用戶端,切換到用戶端安裝資料夾\Backup。
樣品將使用帶* .dat擴展名的TSC_GENCLEAN_ {Timestamp}進行重命名。 - 如何恢復檔案並將其加入例外清單:
-
OSCE主控台>用戶端>用戶端管理>選擇群組右鍵>工作>中央隔離區還原使用中央隔離區還原,將自動將檢測到的文件新增到掃描例外清單。
- 從隔離的文件夾中提取它並重命名文件擴展名以恢復樣本。您可能需要在手動恢復之前設定例外清單。
- 使用VSEncode.exe on the agent side:
- 此工具檔案位置位於[OSCE伺服器安裝資料夾]/PCCSRV/Admin/Utility/VSEncrypt.
- 開啟命令提示字元輸入以下指令:
VSEncode.exe /d /f [filename]
使用VSEncode.exe 不會將檢測到的文件新增到掃瞄排除列表中,您可能需要手動新增至預測性機器學習以防止再次被檢測到。
-
-
識別檢測名稱類型。以下是預測性機器學習檢測的示例:預測性機器學習檢測將在其檢測名稱中包含.XXPE或.XXBP。
-
在隔離目錄中查找樣本。預設路徑是OSCE伺服器安裝路徑\PCCSRV\Virus,
但可以通過隔離管理器進行配置。樣本將使用檢測到的代理的主機名重新命名。在用戶端,轉到OSCE代理程式安裝資料夾\Backup。樣本將使用帶* .dat擴展名的TSC_GENCLEAN_ {Timestamp}進行重命名 -
對於恢復檔案方法和例外,檢查樣本是否已清除:
-
如果樣本已清除,請轉至隔離文件夾並使用VSEncode工具進行恢復。
-
如果樣本未清除,請轉至樣本位置以收集文件。
-
您可能需要手動將其新增到預測性機器學習列表中,以防止再次檢測到它。
-
快速擴散是OSCE XG Service Pack 1(SP1)中新增的一種新檢測類型。
請參閱本文以獲取更多資訊: osce中的快速擴散威脅檢測和提交虛假警報。.
-
識別檢測名稱類型。以下是Rapid Proliferation檢測的一個範例:
-
在隔離目錄中查找樣本。預設路徑是OSCE伺服器安裝資料夾\PCCSRV\Virus,
但可以通過隔離區管理員進行設定。樣本將使用檢測到的代理程式其主機名稱重新命名。 -
在用戶端,切換到OSCE用戶端安裝資料夾\Backup。
樣本將以* .dat擴展名重新命名為TSC_GENCLEAN_ {Timestamp}。 -
對於檔案恢復方法和例外:
-
OSCE主控台>用戶端>用戶端管理>選擇群組右鍵>工作>中央隔離區還原使用 Central Quarantine Restore ,您需要在手動恢復之前設定例外清單。
-
從隔離的文件夾中提取它並重命名文件擴展名以恢復樣本。您可能需要在手動恢復之前設定例外清單。
-
在用戶端上使用VSEncode.exe:
- 該工具位於 [Server 資料夾]/PCCSRV/Admin/Utility/VSEncrypt.
- 請開起命令提示字元輸入以下指令:
VSEncode.exe /d /f [filename]
使用VSEncode.exe不會將檢測到的文件新增到掃描排除列表中。
您需要手動新增至預測性機器學習以防止再次被檢測到。
-
-
識別檢測名稱類型。下面是一個阻止惡意行為案例:
-
在隔離區目錄中查找樣本:
在用戶端,切換到OSCE用戶端安裝資料夾\Backup。
樣本將使用帶* .dat擴展名的TSC_GENCLEAN_ {Timestamp}進行重命名 -
對於恢復檔案方法和例外,檢查樣本是否已清除:
-
如果樣本已清除,請轉至隔離文件夾並使用VSEncode工具進行恢復。
-
如果樣本未清洗,請轉至樣本位置以收集文件。
-
您可能需要手動將其新增到預測性機器學習列表中,以防止再次檢測到它。
-
-
識別檢測名稱類型。下面是一個惡意軟體被阻擋案例:
-
在隔離區目錄中查找樣本:
OSCE主控台>用戶端>用戶端管理>選擇群組右鍵>工作>中央隔離區還原 - 使用VSEncode.exe:
- This tool is located in [Server folder]/PCCSRV/Admin/Utility/VSEncrypt.
- 開啟命令提示字元並輸入以下指令:
VSEncode.exe /d /f [filename]
使用VSEncode.exe 不會將檢測到的文件新增到信任清單列表中。您可能需要手動新增至信任的程式清單以防止再次被檢測到。
-
識別檢測名稱類型。以下是Rapid Proliferation檢測的一個範例。
-
進入OSCE主控台>用戶端>用戶端管理>選擇群組右鍵>工作>中央隔離區還原
- 使用 VSEncode.exe:
- 此工具檔案位置位於 [Server folder]/PCCSRV/Admin/Utility/VSEncrypt.
- 請使用命令提示字元輸入:
VSEncode.exe /d /f [filename]
使用VSEncode.exe不會將檢測到的文件新增到信任清單列表中。 您可能需要手動新增至信任的程式清單以防止再次被檢測到。
檢索樣本後,您可以參考以下鏈接提交樣本: 用戶指南: 新請求.