解決 PUA 警示

以下是您可以用來解決 PUA 警示的動作。

在您需要採取行動或需要調查可能不需要的應用程式 (PUA) 偵測時，我們會透過警示告知您。我們也會告訴您我們是否已嘗試清理 PUA 。我們會在裝置的詳細資料頁面上顯示此資訊。請參閱裝置。

我們也可能產生威脅圖表。這提供了有關偵測到的 PUA 的更多資訊。請參閱威脅圖表。

檢查 PUA 是否為誤判

惡意軟體偵測有時可能不正確。例如，深度學習（偵測名稱：ML/PE-A) 偵測使用機器學習來識別以前未發現的惡意軟體。儘管它非常有效，但有時也可能將合法應用程式識別爲惡意軟體。

如果偵測不正確，您可以允許應用程式或新增排除項。

如果偵測正確，則應清理應用程式。

如果您不確定應用程式是否為惡意或 PUA，您應調查警示。然後，您可以根據需要允許或清理應用程式。

調查警示

警示可能不會提供您所需的偵測到的 PUA 的所有相關資訊。如果您不確定偵測到的 PUA 是惡意的還是不需要的，請檢閱其所有資訊。

若要執行此操作，請依照以下步驟操作。

1. 檢查是否存在威脅圖表。在 Sophos Central 中，移至威脅分析中心。

2. 尋找與偵測到的 PUA 相關的威脅圖表。

   如果存在威脅圖表，它將顯示偵測到的 PUA 的詳細資料。它會顯示所執行的任何活動以及是否有其他可疑的檔案或程序可進行調查。

   1. 如果沒有威脅圖表，請建立一個圖表。

3. 可選：如果可以，請與使用者聯絡，瞭解感染發生時發生的情況。例如，他們是否點按了電子郵件中的連結或連接了 USB 磁碟機？

4. 調查威脅圖表並遵循我們建議的步驟處理問題。

   有關使用威脅圖表調查威脅的說明，請參見 威脅圖表分析。

5. 完成調查後，請從以下選項中進行選擇：

   • 如果您認為偵測不正確，請允許應用程式或新增排除項。請參閱處理誤判。
   • 如果您認為偵測正確，請清理應用程式。請參閱清理 PUA。

6. 解決警示。請參閱解決警示。

處理誤判

如果您認為偵測不正確，您可以允許應用程式或新增排除項。

若要處理誤判，請執行下列動作：

• 如果您要允許某個應用程式，請進行以下步驟。

  1. 請前往 設備。
  2. 根據偵測到應用程式的位置，前往 電腦 或 伺服器 頁面。
  3. 找到發生偵測的裝置，然後檢視詳細資料。
  4. 在 事件 標籤上，找到偵測事件，然後按一下 詳細資訊。
  5. 在 事件詳細資訊 對話框中，查看 允許該應用程式 底下。

  6. 選擇允許應用程式的方式。

     • 憑證（僅限 Windows）：我們推薦此項。使用同一憑證的其他應用程式也會一併許可。
     • SHA-256（Windows、Linux）：允許該版本的應用程式。但是，如果您更新了應用程式，我們可以再次偵測它。
     • 路徑（Windows、Mac、Linux）：如果應用程式安裝在該位置，則允許該應用程式。如果應用程式安裝在其他電腦的其他位置，您可以使用變數。

  7. 按一下 許可。

  有關允許應用程式的更多資訊，請參見 許可的應用程式。

• 如果您要新增排除項，建議您使用原則式排除項。您可以鎖定排除項，並使它們盡可能具體。若要新增排除項，請依照以下步驟操作：

  1. 對於端點，請轉至 Endpoint Protection > 策略 並設定排除項。

     請參閱威脅防護策略。

  2. 對於伺服器，請轉至 Server Protection > 策略 並設定排除項。

     請參閱伺服器威脅防護策略。

• 對於端點，您可以從警示頁面允許應用程式。若要執行此操作，請依照以下步驟操作。

  1. 移至警示。
  2. 查找 PUA 警示。

  3. 按一下 授權 PUA。

     警告

     這將授權 PUA 在所有電腦上執行。我們建議您使用應用程式的憑證或 SHA-256 來允許該應用程式。

您現在可以解決警示。

清理 PUA

如果您認爲偵測正確，則可以清理應用程式。您可能會發現先調查 PUA 有幫助。這有助於您瞭解有關任何相關流程或其他可疑檔案的更多資訊。

如需清理 PUA，請執行以下動作：

1. 前往電腦。
2. 刪除應用程式、任何關聯的程序和登錄項目。

解決警示

當您允許或移除了應用程式時，就可以解決警示。若要執行此操作，請依照以下步驟操作。

1. 移至警示。
2. 前往警示。
3. 按一下 標示為已解決。