# Uitsluitingsregels met een EDR Het beheren van applicatiestromen via uitsluitingsregels is een aanpak die specifiek is voor traditionele antivirusoplossingen, maar die **niet** van toepassing is op een EDR zoals **CrowdStrike** of **SentinelOne**. ## Verschil in werking tussen antivirus en EDR * **Antivirus:** scant proactief alle inactieve bestanden op het systeem (of ze nu worden uitgevoerd of niet). Dit genereert een groot aantal scans en vereist talrijke uitsluitingen om fout-positieven op inactieve bestanden te vermijden. * **EDR (CrowdStrike, SentinelOne):** richt zich alleen op bestanden die daadwerkelijk worden uitgevoerd en op dynamisch systeemgedrag (processen, verbindingen, gebruikersacties, enz.). Er wordt geen continue volledige-diskscan uitgevoerd; inactieve bestanden worden niet geanalyseerd, behalve tijdens handmatige scans. {% hint style="info" %} Aangezien een EDR **verdachte gedragingen analyseert in plaats van handtekeningen**, is het uitsluiten van een map van analyse niet nodig. {% endhint %} {% hint style="warning" %} Het uitsluiten van een map zou een negatief effect hebben: als er in die map verdacht gedrag zou optreden, zou de EDR dit niet kunnen detecteren. Dat gezegd hebbende, blijft dit technisch mogelijk als de noodzaak door ons SOC-team wordt gevalideerd. {% endhint %} ## Slimme preventie en reactief uitsluitingsbeheer CrowdStrike integreert een reeks preventiemechanismen om fout-positieven zonder handmatige tussenkomst te beperken: * Vooraf geconfigureerde uitsluitingslijsten worden automatisch toegepast tijdens de implementatie. * In het geval van een verdachte detectie met betrekking tot een zakelijke applicatie, wordt het programma tijdelijk geblokkeerd en vervolgens door ons SOC geanalyseerd voordat er enige definitieve actie wordt ondernomen. {% hint style="warning" %} Om mogelijke ongewenste verstoringen van de bedrijfsvoering te voorkomen, wordt volledige isolatie uitgevoerd **alleen handmatig**, hetzij na analyse door ons SOC-team, hetzij door u. {% endhint %} ## Uitsluitingen mogen niet vooraf worden gedefinieerd Proberen uitsluitingen te anticiperen voordat er een detectie plaatsvindt, vormt een groot risico: * Het komt neer op het vooraf uitsluiten van mogelijk kwaadaardig gedrag, enkel omdat dit verband houdt met een bekende zakelijke applicatie. * **Resultaat:** u loopt het risico de detectiemogelijkheden van de EDR te neutraliseren, waardoor bepaalde aanvallen onopgemerkt kunnen blijven. Bij **Stoïk**, worden uitsluitingen behandeld **alleen als reactie op een echte detectie**, op basis van analyse door het SOC. ## Conclusie Uitsluitingen in een EDR zijn veel minder talrijk en worden toegepast **alleen wanneer er daadwerkelijk een blokkeringsgeval heeft plaatsgevonden**. Het is noch nodig noch aan te raden om "preventieve" uitsluitingsregels toe te voegen zoals u dat met een traditionele antivirus zou doen. **Concreet voorbeeld:** Een van onze klanten (een nationale retailspeler) had meer dan 3.000 werkstations en enkele duizenden uitsluitingen in hun vorige antivirusoplossing. Na de overstap naar CrowdStrike waren er geen uitsluitingen nodig. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.stoik.io/help/help-nl/stoik-mdr/edr-setup-overview/exclusion-rules-with-an-edr.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.