راهنمای جامع تنظیم Exception برای Safetica در آنتی‌ویروس‌ها

راهنمای جامع تنظیم Exception برای Safetica در آنتی‌ویروس‌ها

در سازمان‌هایی که از راهکارهای DLP  مانند Safetica  استفاده می‌کنند، هم‌زیستی صحیح این ابزار با آنتی‌ویروس‌ها و EDRها نقش حیاتی در پایداری، عملکرد صحیح و جلوگیری از اختلال‌های امنیتی دارد.

در بسیاری از سناریوهای عملیاتی، آنتی‌ویروس‌ها ممکن است به دلیل رفتارهای Injection، Monitoring، Driver-level Hooking و Event Collection که ذات Safetica است، برخی از سرویس‌ها یا فایل‌های آن را به‌اشتباه به‌عنوان فعالیت مشکوک شناسایی کنند.

این مقاله با رویکردی کاملاً فنی و عملیاتی تهیه شده و هدف آن ارائه‌ی یک مرجع جامع برای تیم‌های SOC، تیم Endpoint Security و مدیران سیستم است تا با تنظیم صحیح  Exceptionها، از بروز تداخل میان Safetica  و محصولات امنیتی جلوگیری شود.

در ادامه به‌صورت ساختاریافته به موارد زیر پرداخته می‌شود:

  • تنظیم Exception برای سرویس‌های Safetica
  • تنظیم Exception برای فایل‌ها و فولدرها
  • Exceptionهای مورد نیاز برای URL و ارتباطات شبکه
  • Exceptionهای پیشنهادی در SentinelOne هنگام بروز مشکل در اجرای Microsoft Teams
  • اقدامات لازم در صورت عدم رفع مشکل پس از اعمال Exceptionها
  • Exception  برای سرویس‌های Safetica

در صورتی که آنتی‌ویروس یا EDR شما هشدارهایی نظیر Suspicious Behavior، Unauthorized Injection  یا Process Manipulation در خصوص سرویس‌های Safetica صادر کند، لازم است سرویس‌های زیر به‌صورت Allow / Trusted  تعریف شوند:

  • STCservice.exe
  • STContentservice.exe
  • STEventservice.exe
  • STAservice.exe

🔍 نکته فنی:

این سرویس‌ها مسئول جمع‌آوری رویدادها، نظارت بر رفتار کاربر، اعمال Policyها و ارسال Telemetry به سرور Safetica هستند. مسدودسازی آن‌ها می‌تواند باعث از کار افتادن کامل DLP، عدم ثبت لاگ و شکست Policy Enforcement شود.

  • Exception  برای فایل‌ها و فولدرها (Safetica Server)

برای جلوگیری از اختلال در عملکرد سرور مدیریتی Safetica، Exceptionهای زیر باید در آنتی‌ویروس سرور اعمال شوند:

مسیر عمومیمسیر در ویندوز
%programdata%\OneConsoleC:\ProgramData\OneConsole
%programdata%\Safetica Management ServiceC:\ProgramData\Safetica Management Service
%programdata%\STEventService\C:\ProgramData\STEventService\
%programfiles%\Safetica Management ConsoleC:\Program Files\Safetica Management Console
%programfiles%\Safetica Management ServiceC:\Program Files\Safetica Management Service
%programfiles%\Safetica ServerC:\Program Files\Safetica Server

🔍 نکته فنی:

اسکن Real-Time روی این مسیرها می‌تواند باعث Delay در Console، قطع ارتباط  Agentها و حتی Corruption  دیتابیس لاگ شود.

  • Exception  برای Safetica Client ویندوز

برای کلاینت‌های ویندوز، تنظیم  Exceptionها اهمیت بیشتری دارد زیرا Safetica مستقیماً در سطح

 سیستم‌عامل و Driver فعالیت می‌کند.

مسیرها و فایل‌های ضروری:

C:\Program Files\Safetica\

C:\ProgramData\Safetica Client Service\

C:\ProgramData\STEventService\

C:\ProgramData\Installer\

C:\Windows\System32\drivers\dc2drv.sys

C:\Windows\System32\drivers\fltenum.dll

C:\Windows\SysWOW64\STAgent.dll

C:\Windows\SysWOW64\STEventService.exe

C:\Windows\SysWOW64\AgentConnectorProxy\

C:\Windows\SysWOW64\STInstallAgent.dll

فقط برای Safetica نسخه 11.21 و قدیمی‌تر:

C:\Windows\Temp\install_update.bat

C:\Windows\Temp\vcredist_x64.exe

C:\Windows\Temp\vcredist_x86.exe

C:\Windows\Temp\InstallLogs\

⚠️ هشدار فنی:

مسدود شدن Driver dc2drv.sys می‌تواند باعث Crash سیستم، عدم Capture فعالیت‌ها و حتی Boot Loop  شود.

  • Exception  برای Safetica Client – macOS

در سیستم‌های macOS تنها مسیر زیر باید در آنتی‌ویروس Allow شود:

/Library/Application Support/Safetica

🍏نکته فنی :   در macOS ، Safetica  از مکانیزم‌های System Extension و

 User Monitoring استفاده می‌کند که بسیار حساس به Real-time Protection هستند.

  • Exception  برای URL و ارتباطات شبکه

برای حفظ ارتباط امن میان  Client، Server  و Cloud Safetica، Exception های زیر باید در

 Firewallیا Web Protection اعمال شوند:

دلیلURL
ارتباط Safetica On-Premise*.safetica.com

🌐 مسدود بودن این آدرس‌ها باعث Offline  شدن  Agentها، عدم Sync Policy و Fail شدن

 Authentication  می‌شود.

  • Exceptionهای پیشنهادی برای SentinelOne

C:\Windows\System32\drivers\dc2drv.sys

C:\Windows\SysWOW64\STEventService.exe

C:\Program Files\Safetica Management Service\

C:\Program Files\Safetica\

\Device\HarddiskVolume*\Program File*\Teams Installer\Teams.exe

\Device\HarddiskVolume*\Users\*\AppData\Local\Microsoft\Teams\Update.exe

\Device\HarddiskVolume*\Users\*\AppData\Local\Microsoft\Teams\current\Teams.exe

🎯 علت فنی:  Safetica  و Teams هر دو از Injection و Hook استفاده می‌کنند و SentinelOne ممکن است این رفتار را Conflict تشخیص دهد.

  • جمع‌بندی

تنظیم صحیح Exceptionها برای Safetica نه‌تنها یک اقدام پیشنهادی، بلکه یک الزام عملیاتی برای سازمان‌هایی است که هم‌زمان از DLP و Endpoint Protection استفاده می‌کنند. اجرای دقیق این راهنما می‌تواند از بروز Downtime، اختلال در DLP و False Positiveهای امنیتی جلوگیری کند.

  • چرا مدیران شبکه برنا ؟

مدیران شبکه برنا با سال‌ها تجربه تخصصی در حوزه امنیت اطلاعات، DLP، Endpoint Security و زیرساخت‌های سازمانی، به‌عنوان یکی از مجموعه‌های فعال و قابل اعتماد در صنعت IT کشور شناخته می‌شود.

این مجموعه با تکیه بر تیمی فنی و عملیاتی، خدماتی فراتر از فروش محصول ارائه می‌دهد؛ از طراحی و پیاده‌سازی راهکارهای  Safetica، ESET،  Kaspersky  و  EDR ها گرفته تا عیب‌یابی تخصصی تداخل‌های امنیتی، تنظیم Policy های پیشرفته و بهینه‌سازی عملکرد  Endpointها در محیط‌های واقعی سازمانی.

مدیران شبکه برنا با درک دقیق چالش‌های تیم‌های SOC و IT، تلاش می‌کند راهکارهایی کاربردی، پایدار و منطبق با نیازهای عملیاتی سازمان‌ها ارائه دهد؛ راهکارهایی که امنیت را بدون ایجاد اختلال در کسب‌وکار تضمین می‌کنند.

📌 اگر سازمان شما در مسیر افزایش کنترل داده‌ها، کاهش ریسک Insider Threat و هم‌زیستی امن DLP با آنتی‌ویروس‌ها گام برمی‌دارد، مدیران شبکه برنا می‌تواند همراهی مطمئن در این مسیر باشد.

اشتراک گذاری این پست
ایمیل
تلگرام
واتساپ
لینکدین

دیدگاهتان را بنویسید

آدرس ایمیل شما منتشر نخواهد شد. فیلد های ضروری مشخص شده اند *

ارسال نظر

سایر مقالات

مقالات مرتبط