Seqrite บล็อกไฟล์ที่ปลอดภัย (false positive) — ตั้ง exclusion

ปัญหา

บางครั้ง Seqrite จับไฟล์หรือโปรแกรมที่ปลอดภัย (เช่น tool ภายในองค์กร, installer เฉพาะทาง) เป็นภัยคุกคาม แล้ว quarantine ทิ้ง เรียกว่า false positive บทความนี้บอกวิธีกู้ไฟล์คืน, ตั้ง exclusion อย่างปลอดภัย และส่งให้ Seqrite ตรวจสอบ

ขั้นที่ 1: กู้ไฟล์จาก Quarantine

1. เปิด Quarantine

   เปิด Seqrite client → Quarantine จะเห็นรายการไฟล์ที่ถูกกักไว้พร้อมชื่อภัยคุกคามที่ตรวจพบ

2. ยืนยันว่าเป็น false positive จริง

   ดูว่าไฟล์นั้นมาจากแหล่งที่เชื่อถือได้จริง (vendor ที่รู้จัก, tool ภายในที่ทีมสร้างเอง) ไม่ใช่ไฟล์โหลดมั่วจากเน็ต

3. Restore

   เลือกไฟล์ → Restore ไฟล์จะกลับไปที่เดิม แต่ถ้ายังไม่ตั้ง exclusion Seqrite อาจจับซ้ำ — ทำขั้นที่ 2 ต่อ

ขั้นที่ 2: ตั้ง exclusion ให้แคบที่สุด

หลักการคือ exclude ให้ เจาะจงที่สุด — เลือกไฟล์เดียวดีกว่าโฟลเดอร์ และโฟลเดอร์ดีกว่าทั้งไดรฟ์

1. เปิด Exclusion settings

   เครื่องเดี่ยว: Settings → Scan Settings → Exclude Files & Folders · Console: ตั้งใน policy → Scan Settings → Exclusions แล้ว push

2. เพิ่มแบบเจาะจง

   เลือกชนิดที่แคบที่สุดที่แก้ปัญหาได้: ระบุ ไฟล์เดียว (full path) ก่อน ถ้าจำเป็นจริงค่อยขยับเป็นโฟลเดอร์

3. เลือกประเภทการยกเว้น

   ยกเว้นได้ทั้ง real-time scan และ on-demand scan ถ้าเป็น tool ที่รันประจำ ให้ยกเว้นทั้งสองแบบ

ขั้นที่ 3: ส่ง false positive ให้ Seqrite Labs

วิธีที่ถูกต้องระยะยาวคือให้ Seqrite แก้ signature เพื่อไม่ให้จับไฟล์นั้นอีก ทุกเครื่องจะได้ประโยชน์โดยไม่ต้องตั้ง exclusion

1. เตรียมตัวอย่างไฟล์

   บีบไฟล์ที่ถูกจับใส่ .zip (ใส่รหัสผ่าน infected ตามแนวปฏิบัติ) เพื่อส่งให้ทีมตรวจ

2. ส่งพร้อมรายละเอียด

   เปิด Support Ticket แนบไฟล์ตัวอย่าง + ชื่อภัยคุกคามที่ Seqrite รายงาน + ที่มาของไฟล์ ทีมจะประสานส่งให้ Seqrite Labs ตรวจสอบ

คำถามที่พบบ่อย