Passer au contenu principal

Fausses détections AV/EDR

Ajouter des exclusions Level à votre logiciel de sécurité en utilisant des règles basées sur le chemin, le processus ou le certificat pour prévenir les fausses détections.

Introduction

Les outils AV et EDR marquent régulièrement les agents RMM comme des applications potentiellement indésirables (PUA). C'est un comportement attendu — un RMM possède des privilèges système importants, et les fournisseurs de sécurité ont raison de traiter les outils d'accès distant inconnus avec suspicion. Puisque vous avez déployé Level intentionnellement, la solution consiste à ajouter des exclusions afin que votre pile de sécurité lui permette de fonctionner.

Pourquoi cela se produit

Les EDR ont commencé à classer les RMM en tant que programmes potentiellement indésirables (PUP) par défaut. C'est une position de sécurité raisonnable — les RMM fournissent un accès profond au système, y compris le contrôle à distance, la gestion en arrière-plan, l'exécution de scripts arbitraires, etc. Tout RMM non autorisé s'exécutant sur votre réseau doit être signalé immédiatement.

Position de Level : les EDR doivent bloquer les RMM non approuvés. Si vous avez choisi d'utiliser Level, créer une exception dans votre logiciel de sécurité est la réponse appropriée.

Pour une discussion plus approfondie, consultez :Les EDR se méfient des RMM, et c'est normal

Comment l'AV/EDR interfère réellement avec Level

Il est important de comprendre cela, car l'interférence AV/EDR n'est pas toujours évidente. La plupart des gens s'attendent à un événement de quarantaine ou une alerte — mais la détection basée sur le comportement ne produit souvent ni l'un ni l'autre.

La détection basée sur le comportement n'est pas basée sur la signature. Les produits AV/EDR ne se contentent pas d'analyser les fichiers ; ils observent ce que les processus font au moment de l'exécution. Si le comportement de l'agent à un moment spécifique déclenche une heuristique — un modèle d'appel réseau, une requête WMI, une génération de processus — le logiciel de sécurité peut bloquer ou arrêter cette action sans mettre en quarantaine quoi que ce soit. Pas d'alerte, pas d'entrée de journal, pas de suppression binaire.

C'est pourquoi vous pouvez avoir 50 appareils exécutant le même AV/EDR et seulement 2 montrant Level comme hors ligne. Ce n'est pas un comportement incohérent de votre logiciel de sécurité — c'est que la détection a été déclenchée sur ces 2 appareils en fonction de ce que l'agent faisait au moment.

L'AV/EDR peut affecter Level de manières au-delà de la simple suppression du binaire :

  • Tuer le processus agent purement et simplement (l'appareil se déconnecte)

  • Bloquer les connexions sortantes spécifiques (les vérifications de connectivité échouent, websocket se déconnecte)

  • Interférer avec les appels WMI (les automations expireront ou échoueront à mi-chemin)

  • Réduire ou suspendre le processus (l'appareil semble en ligne mais les sessions distantes ne se connecteront pas)

  • Empêcher l'agent de générer des processus enfants (les scripts échouent à s'exécuter)

Si quelque chose dans Level se comporte étrangement — non seulement des appareils hors ligne, mais des défaillances intermittentes d'automatisation, des scripts qui se figent, des sessions distantes qui ne s'établissent pas — l'interférence AV/EDR est une cause probable même si votre logiciel de sécurité ne montre rien.

Exclusion Paths

Ajoutez ces chemins à la liste d'exclusion ou de confiance de votre logiciel de sécurité :

🖥️ PLATFORM NOTE:

Windows:

C:\Program Files\Level\level.exe
C:\Program Files\Level\level.update
C:\Program Files\Level\winpty-agent.exe
C:\Program Files\Level\.level.exe.new
C:\Program Files\Level\.level.exe.old

macOS: 

/Applications/Level.app/Contents/MacOS/level

Linux: 

/usr/local/bin/level

💡 CONSEIL :Utilisez des exclusions basées sur le chemin sur les exécutables spécifiques, et non sur l'ensemble du dossier. L'exclusion du dossier couvrirait également tout ce qu'un attaquant pourrait y déposer.Level

Exclusions basées sur le certificat

Les exclusions basées sur le certificat sont plus résilientes que celles basées sur le chemin. Level envoie des mises à jour d'agents hebdomadaires — les exclusions basées sur le hash se cassent à chaque version, et les exclusions basées sur le chemin ne vérifient pas l'authenticité du binaire. Les exclusions de certificat survivent aux mises à jour automatiquement et ne permettent que l'exécution des binaires Level correctement signés.

ℹ️ REMARQUE :Tous les produits AV/EDR ne supportent pas entièrement les exclusions basées sur le certificat. SentinelOne, par exemple, ne les respecte pas pour les exclusions d'interopérabilité. Si vous n'êtes pas certain que votre produit respecte les règles basées sur le certificat, utilisez plutôt les exclusions basées sur le chemin — elles sont largement supportées et efficaces.

Informations sur l'éditeur :

Field

Value

Publisher

Level Software, Inc.

Issuer

DigiCert, Inc.

Serial

0d7a416a2936f4d3ba64975e60ba4067

SHA-1

3C002DCBBCB603AE08699F4CEF973864AEB16860

SHA-256

C88A3F8B7EA59A25C8090B205AE00CCADA22A6F452B202080B4573E347D6354C

Pour vérifier le certificat sur le binaire installé (Windows) :

  1. Navigate to C:\Program Files\Level.

  2. Right-click level.exe and select Properties.

  3. Click the Signatures numériques tab.

  4. Sélectionnez « Level Software, Inc. » et cliquezDétails → Afficher le certificat.

  5. Confirmez que l'empreinte digitale correspond à la valeur SHA-256 ci-dessus.

ℹ️ REMARQUE :Vérifiez toujours les détails du certificat par rapport aux valeurs extraites directement de votre binaire installé. Les détails peuvent varier légèrement d'une version à l'autre.

Exclusions Windows Defender

Si vous utilisez Windows Defender, utilisez l'automatisation ou le script ci-dessous pour pousser les exclusions sur vos appareils. Les deux sont directement importables dans Level.

Importer l'automatisation (recommandé pour plusieurs appareils) : https://app.level.io/import/automation/Z2lkOi8vbGV2ZWwvQWxsb3dlZEltcG9ydC8xNzM

Importer le script (pour les appareils individuels) : https://app.level.io/import/script/Z2lkOi8vbGV2ZWwvQWxsb3dlZEltcG9ydC8xOTU

Script PowerShell - Exclusion Windows Defender (manuel) : 

<#
This resource is provided as a convenience for Level users. We cannot 
guarantee it will work in all environments. Please test before deploying 
to your production environment. We welcome contributions to our community 
library

Level Library
https://level.io/library
#>

# Define paths to exclude
$paths = @(
    "C:\Program Files\Level\level.exe",
    "C:\Program Files\Level\level.update",
    "C:\Program Files\Level\winpty-agent.exe",
    "C:\Program Files\Level\.level.exe.new",
    "C:\Program Files\Level\.level.exe.old"
)

# Add temporary file paths
$tempInstallPath = Join-Path ([System.IO.Path]::GetTempPath()) "install_level.exe"
$tempWindowsAmd64Path = Join-Path ([System.IO.Path]::GetTempPath()) "level-windows-amd64.exe"
$paths += $tempInstallPath
$paths += $tempWindowsAmd64Path

# Add path exclusions
foreach ($path in $paths) {
    Add-MpPreference -ExclusionPath $path -ErrorAction SilentlyContinue
}

# Add process name exclusion
Add-MpPreference -ExclusionProcess "level.exe" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess "level.msi" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess "install_level.exe" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess "level-windows-amd64.exe" -ErrorAction SilentlyContinue

# Display confirmation
Write-Output "Current Exclusion Paths:"
(Get-MpPreference).ExclusionPath

Write-Output "`nCurrent Exclusion Processes:"
(Get-MpPreference).ExclusionProcess

⚠️ AVERTISSEMENT : Si un appareil est déjà hors ligne parce que l'agent a été mis en quarantaine ou supprimé, vous ne pouvez pas pousser ce script via Level. Vous aurez besoin d'un accès local ou hors bande pour ajouter d'abord les exclusions. Voir Si les appareils sont déjà hors ligne below.

Si les appareils sont déjà hors ligne

Lorsque l'AV/EDR bloque Level sans générer d'alerte, l'appareil disparaît sans indication évidente. Les signes que c'est la cause :

  • L'appareil est en ligne et joignable par d'autres outils, mais hors ligne dans Level

  • Seuls certains appareils sont affectés, même si le même AV/EDR est déployé partout(c'est normal — la détection basée sur le comportement est incohérente par nature)

  • Les automations échouent ou expirent sur les appareils qui semblent par ailleurs sains

  • The level.exe le binaire manque deC:\Program Files\Level\— Level n'a pas de mécanisme pour supprimer son propre binaire, donc l'absence signifie que l'AV/EDR l'a supprimé ou mis en quarantaine

To resolve:obtenir un accès hors bande à l'appareil, ajouter les exclusions à l'aide de la console de gestion de votre logiciel de sécurité ou du script PowerShell ci-dessus, puis vérifier que le binaire est présent. S'il a été supprimé, réinstallez l'agent après avoir ajouté les exclusions.

⚠️ AVERTISSEMENT :Ne réinstallez pas l'agent avant d'ajouter les exclusions. L'AV/EDR supprimera le binaire à nouveau immédiatement.

FAQ

  • J'ai ajouté des exclusions mais l'appareil est toujours hors ligne. Et maintenant ? Les exclusions empêchent les interférences futures mais n'annulent pas ce qui s'est déjà produit. Vérifiez si le level.exe binaire est toujours présent dans C:\Program Files\Level\ — s'il a été supprimé par AV/EDR, vous devrez réinstaller l'agent. Exécutez --checkaprès la réinstallation pour confirmer que la connectivité est rétablie. VoirDépannage hors ligne.

  • Tous mes appareils ont le même AV/EDR. Pourquoi Level est-il uniquement hors ligne sur quelques-uns ?Détection basée sur le comportement. Votre logiciel de sécurité ne compare pas Level à une signature malveillante connue — il observe ce que les processus font au moment de l'exécution et bloque en fonction des modèles de comportement. Si une détection se déclenche dépend de ce que l'agent faisait au moment où l'heuristique a été exécutée. Il est courant de voir seulement 1-3 appareils affectés sur une flotte beaucoup plus grande avec une configuration AV/EDR identique.

  • Mon EDR ne montre aucune détection ou événement de quarantaine, mais Level se comporte étrangement.C'est conforme à l'interférence basée sur le comportement. Certains produits bloquent ou limitent des opérations spécifiques sans générer d'événement de détection — pas d'alerte, pas de journal de quarantaine, rien. L'AV/EDR peut tuer des websockets, bloquer des appels réseau, provoquer des délais d'expiration WMI ou empêcher l'agent de générer des processus enfants, tout sans toucher au binaire. Ajoutez des exclusions et surveillez si les problèmes se résolvent.

  • Dois-je utiliser des exclusions basées sur le chemin ou le certificat ?Le certificat est théoriquement plus sûr et plus facile à maintenir, mais pas tous les produits les respectent pleinement. SentinelOne, par exemple, ne supporte pas les exclusions basées sur le certificat pour les exclusions d'interopérabilité — l'option existe mais n'aura pas l'effet souhaité. Si vous n'êtes pas certain que votre AV/EDR respecte pleinement les exclusions basées sur le certificat, commencez par les exclusions basées sur le chemin. Les exclusions basées sur le chemin sont largement supportées sur tous les produits et constituent la valeur par défaut plus sûre. Évitez basées sur le hash — Level envoie des mises à jour hebdomadaires et le hash change à chaque version.

  • Qui dois-je contacter si mon fournisseur EDR continue de marquer Level ? Contactez Level Support. L'équipe travaille directement avec les fournisseurs de sécurité sur les problèmes de classification.

Articles connexes
Installation macOS
Installer via InTune
Dépannage des problèmes d'agent
Dépannage hors ligne
Installer des agents depuis RMM
Avez-vous trouvé la réponse à votre question ?