Deteksjonsmotor
Deteksjonsmotoren beskytter mot ondsinnede systemangrep ved å kontrollere fil-, e-post- og internettkommunikasjon. Hvis for eksempel et objekt som klassifiseres som skadelig programvare, oppdages, startes avhjelpning. Deteksjonsmotoren kan eliminere det ved først å blokkere det og deretter rengjøre det, fjerne det eller flytte det til karantene.
Hvis vil konfigurere oppsettene for deteksjonsmotoren i detalj, klikker du på Avansert oppsett eller trykker på F5.
I denne delen:
- Kategorier for sanntids- og maskinlæringsbeskyttelse
- Skanninger etter skadelig programvare
- Rapporteringsoppsett
- Beskyttelsesoppsett
- Beste praksis
Kategorier for sanntids- og maskinlæringsbeskyttelse
Sanntids- og maskinlæringsbeskyttelse for alle beskyttelsesmoduler (for eksempel Filsystembeskyttelse i sanntid, Beskyttelse for nettilgang, …) lar deg konfigurere rapportering- og beskyttelsesnivåene for disse kategoriene:
- Skadelig programvare – Et datavirus er et stykke skadelig kode som legges til i starten eller slutten av eksisterende filer på datamaskinen. Begrepet «virus» blir imidlertid ofte misbrukt. «Skadelig programvare» er et mer nøyaktig begrep. Deteksjon av skadelig programvare utføres av deteksjonsmotormodulen kombinert med maskinlæringskomponenten.
Les mer om disse typer av programmer i Ordlisten.
- Potensielt uønskede programmer – Grayware, eller potensielt uønskede programmer (PUA), er en bred kategori av programvare der hensikten ikke er like åpenbart skadelig som med andre typer skadelig programvare, for eksempel virus og trojanere. De kan imidlertid installere ekstra programvare som er uønsket, endre atferden til den digitale enheten eller utføre aktiviteter som ikke er godkjent eller forventet av brukeren.
Les mer om disse typer av programmer i Ordlisten. - Potensielt utrygge programmer – henviser til legitim, kommersiell programvare som har potensial til å bli misbrukt til ondsinnede formål. Eksempler på potensielt usikre programmer (PUA) inkluderer verktøy for ekstern tilgang, programmer for å knekke passord samt tasteloggere (programmer som registrerer alle tastetrykk som foretas av en bruker).
Les mer om disse typer av programmer i Ordlisten.
- Mistenkelige programmer omfatter programmer som er komprimert med pakkere eller beskyttere. Disse typene beskytterne utnyttes ofte av forfattere av skadelig programvare for å unngå gjenkjenning.
Avansert maskinlæring inngår nå i deteksjonsmotoren som et avansert beskyttelseslag som forbedrer deteksjon basert på maskinlæring. Les mer om denne typen beskyttelse i ordlisten. |
Skanninger etter skadelig programvare
Skanneroppsettene kan konfigureres separat for sanntidsskanneren og skanning etter behov. Som standard er Bruk oppsett for sanntidsbeskyttelse aktivert. Når dette er aktivert, blir relevante oppsett for skanning etter behov arvet fra delen Sanntids- og maskinlæringsbeskyttelse.
Rapporteringsoppsett
Når en deteksjon inntreffer (f.eks. når en trussel blir funnet og klassifisert som skadelig programvare), registreres informasjon i Deteksjoner-loggen, og Skrivebordsvarsler utløses hvis dette er konfigurert i ESET Endpoint Antivirus.
Rapporteringsterskelen konfigureres for hver kategori (kalles «KATEGORI»):
- Skadelig programvare
- Potensielt uønskede programmer
- Potensielt utrygt
- Mistenkelige programmer
Rapportering utføres med deteksjonsmotoren, inkludert maskinlæringskomponenten. Du kan angi en høyere rapporteringsterskel enn den nåværende beskyttelsesterskelen. Disse rapporteringsoppsettene påvirker ikke blokkering, rengjøring eller fjerning av objekter.
Les dette før du endrer en terskel (eller et nivå) for KATEGORI-rapportering:
Terskel |
Forklaring |
---|---|
Aggressiv |
KATEGORI-rapportering er konfigurert til maksimal følsomhet. Flere deteksjoner rapporteres. Aggressiv-oppsettet kan feilaktig identifisere objekter som KATEGORI. |
Balansert |
KATEGORI-rapportering er konfigurert som balansert. Dette oppsettet er optimalisert for å balansere ytelsen og nøyaktigheten til deteksjonsratene og antallet feilaktig rapporterte objekter. |
Forsiktig |
KATEGORI-rapportering er konfigurert til å minimere feilaktig identifiserte objekter og samtidig opprettholde et tilstrekkelig nivå av beskyttelse. Objekter rapporteres bare når sannsynligheten er tydelig og samsvarer med atferden til KATEGORI. |
Av |
KATEGORI-rapportering er ikke aktiv, og deteksjoner av denne typen blir ikke funnet, rapportert eller rengjort. Dermed deaktiverer dette oppsettet beskyttelse mot denne deteksjonstypen. |
Tilgjengeligheten av ESET Endpoint Antivirus-beskyttelsesmodulene
Finn produktversjonen, programmodulversjonene og byggdatoene
Viktige opplysninger
Flere viktige opplysninger når du skal konfigurere en passende terskel for miljøet ditt:
- Balansert-terskelen anbefales for de fleste oppsett.
- Terskelgrensen Forsiktig anbefales for miljøer der det er prioritert å fokusere på å minimere falskt identifiserte objekter med sikkerhetsprogramvare.
- Jo høyere rapporteringsterskelen er, desto høyere er deteksjonsraten, men sjansen for feilaktig identifiserte objekter er også høyere.
- I den virkelige verden er det ingen garanti for 100 % deteksjonsrate i tillegg til 0 % sjanse for å unngå feilaktig kategorisering av harmløse objekter som skadelig programvare.
- Hold ESET Endpoint Antivirus og modulene oppdatert for å maksimere balansen mellom ytelsen, deteksjonsratenes nøyaktighet og antall feilaktig rapporterte objekter.
Beskyttelsesoppsett
Hvis et objekt som er klassifisert som KATEGORI, rapporteres, blokkerer programmet objektet og rengjør det, fjerner det eller flytter det til Karantene.
Les dette før du endrer en terskel (eller et nivå) for KATEGORI-beskyttelse:
Terskel |
Forklaring |
---|---|
Aggressiv |
Rapporterte deteksjoner på aggressivt (eller lavere) nivå blokkeres, og automatisk avhjelpning (dvs. rengjøring) startes. Dette oppsettet anbefales når alle endepunkter er skannet med aggressive oppsett og feilaktig rapporterte objekter er lagt til i utelatelse av deteksjon. |
Balansert |
Rapporterte deteksjoner på balansert (eller lavere) nivå blokkeres, og automatisk avhjelpning (dvs. rengjøring) startes. |
Forsiktig |
Rapporterte deteksjoner på forsiktig nivå blokkeres, og automatisk avhjelpning (dvs. rengjøring) startes. |
Av |
Nyttig for å identifisere og utelate feilaktig rapporterte objekter. |
Beste praksis
UADMINISTRERT (individuell klientarbeidsstasjon)
Behold de anbefalte standardverdiene som de er.
ADMINISTRERT MILJØ
Disse oppsettene gis vanligvis til arbeidsstasjonene via retningslinjer.
1. Startfasen
Denne fasen kan ta inntil en uke.
- Sett alle Rapportering-tersklene til Balansert.
MERK: Sett til Aggressiv om nødvendig. - Sett eller behold Beskyttelse mot skadelig programvare som Balansert.
- Sett Beskyttelse for andre KATEGORIER til Forsiktig.
MERK: Det anbefales ikke å sette Beskyttelse-terskelen til Aggressiv i denne fasen, siden alle deteksjoner som blir funnet, blir avhjulpet, også de som feilaktig identifiseres. - Finn feilaktig identifiserte objekter i Deteksjoner-loggen, og legg dem til i Utelatelse av deteksjon først.
2. Overgangsfasen
- Implementer «Produksjonsfasen» på noen av arbeidsstasjonene som en test (ikke for alle arbeidsstasjonene på nettverket).
3. Produksjonsfasen
- Sett alle Beskyttelse-tersklene til Balansert.
- Ved fjernadministrasjon må du bruke en passende forhåndsdefinert retningslinje for virusbeskyttelse for ESET Endpoint Antivirus.
- Aggressiv-beskyttelsesterskelen kan angis hvis de høyeste deteksjonsratene kreves og det er akseptabelt med feilaktig identifiserte objekter.
- Se etter potensielt manglende deteksjoner i Deteksjonsloggen eller ESET PROTECT-rapportene.