Модуль обнаружения
Модуль обнаружения блокирует вредоносные атаки системы, контролируя информационное взаимодействие с помощью файлов, электронной почты, и Интернета. Например, при обнаружении объекта, который классифицируется как «вредоносная программа» начнется процесс исправления. Модуль обнаружения может устранить его, сначала заблокировав его, а затем очистив, удалив или переместив в карантин.
Для детальной настройки параметров модуля обнаружения щелкните элемент Расширенные параметры или нажмите клавишу F5.
В этом разделе:
- Защита в режиме реального времени и категории защиты машинного обучения
- Процессы сканирования вредоносных программ
- Настройка обнаружения
- Настройка защиты
- Рекомендации
Защита в режиме реального времени и категории защиты машинного обучения
Защита в режиме реального времени и на основе машинного обучения для всех модулей защиты (например, защита файловой системы в режиме реального времени, защита веб-доступа и т.д.) позволяет настраивать уровни защиты и отчетности по следующим категориям:
- Вредоносные программы — это фрагмент вредоносного кода, который добавляется в начало или конец файлов на компьютере. Тем не менее термин «вирус» часто используется не по назначению. Более точный термин — «вредоносная программа» («вредоносное ПО»). Обнаружение вредоносных программ осуществляется модулем обнаружения в сочетании с компонентом машинного обучения.
Дополнительную информацию о приложениях этого типа см. в глоссарии.
- Потенциально нежелательные приложения . Потенциально нежелательные приложения представляют собой довольно широкую категорию программного обеспечения, задачей которого не является однозначно вредоносная деятельность в отличие от других типов вредоносных программ, например вирусов или троянских программ. Однако такое приложение может устанавливать дополнительное нежелательное программное обеспечение, изменять поведение цифрового устройства, а также выполнять действия без запроса или разрешения пользователя.
Дополнительную информацию о приложениях этого типа см. в глоссарии. - Потенциально опасные приложения: это определение относится к законному коммерческому программному обеспечению, которое может быть использовано для причинения вреда. К потенциально опасным приложениям относятся средства удаленного доступа, приложения для взлома паролей и клавиатурные шпионы (программы, регистрирующие каждое нажатие пользователем клавиш на клавиатуре).
Дополнительную информацию о приложениях этого типа см. в глоссарии.
- Подозрительные приложения: к ним относятся программы, сжатые при помощи упаковщиков или средств защиты. Средства защиты такого типа часто используются злоумышленниками, чтобы избежать обнаружения.
Расширенное машинное обучение — это часть модуля обнаружения, которая является дополнительным уровнем защиты на основе машинного обучения, который улучшает работу функции обнаружения. Дополнительную информацию об этом типе защиты см. в глоссарии. |
Процессы сканирования вредоносных программ
Параметры модуля сканирования можно настроить отдельно для сканера в режиме реального времени и для сканера по запросу. По умолчанию, использование настроек защиты в режиме реального времени включено. При включении этой функции соответствующие настройки сканирования по требованию происходят от раздела Защита в режиме реального времени и на основе машинного обучения.
Настройка обнаружения
При обнаружении (например, угроза обнаруживается и классифицируется, как вредоносная программа) информация передается в Журнал обнаружения и появляются Уведомления на рабочем столе, если они настроены в меню ESET Endpoint Antivirus.
Пороговое значение обнаружения настраивается для каждой категории (далее — «КАТЕГОРИЯ»):
- Вредоносные программы
- Потенциально нежелательные приложения
- Потенциально опасный
- Подозрительные приложения
Создание отчетов выполняется с помощью модуля обнаружения, включая компонент машинного обучения. Можно установить более высокое пороговое значение отчетности по сравнению с текущим значением защиты. Эти настройки отчетности не влияют на блокировку, очищение или удаление объектов.
Перед изменением порогового значения (или уровня) отчетности для КАТЕГОРИИ ознакомьтесь со следующим:
Пороговое значение |
Описание |
---|---|
Агрессивный |
Функция обнаружения КАТЕГОРИИ настроена на максимальную чувствительность. Случаев обнаружения будет больше. При уровне Агрессивный функция может ошибочно считать объекты КАТЕГОРИЯМИ. |
Сбалансированный |
Установлен сбалансированный уровень функции обнаружения КАТЕГОРИИ. Эта настройка должна обеспечивать оптимальный баланс производительности, точности обнаружения и количества ложных обнаружений. |
Осторожный |
Уровень функции обнаружения КАТЕГОРИИ настроен таким образом, чтобы уменьшить количество ложных обнаружений, но при этом сохранить достаточный уровень защиты. Объекты считаются такими, только если их поведение явно соответствует поведению КАТЕГОРИИ. |
Выкл. |
Функция обнаружения для КАТЕГОРИИ не активна, и обнаружения такого рода не обнаруживаются, не регистрируются и не очищаются. В результате, данная настройка отключает защиту от этого типа обнаружения. |
Доступность модулей защиты ESET Endpoint Antivirus
Определение версии продукта, версий модуля программы и даты сборки
Ключевые моменты
Несколько ключевых моментов при установке соответствующего порогового значения для вашей среды:
- Сбалансированное пороговое значение рекомендуется для большинства настроек.
- Осторожное пороговое значение рекомендуется для сред, в которых приоритетом является минимизация количества объектов, ложно выявленных программой защиты.
- Более высокий порог отчетности — более высокий уровень обнаружения, но более высокий шанс ложно идентифицированных объектов.
- С реальной точки зрения, нет гарантии 100 % обнаружения, а также 0 % шансов избежать неправильной классификации чистых объектов как вредоносных программ.
- Сохраняйте ESET Endpoint Antivirus и его модули в актуальном состоянии, чтобы обеспечить максимальный баланс между производительностью и точностью обнаружения и количеством ошибочно зарегистрированных объектов.
Настройка защиты
Если объект, классифицированный как КАТЕГОРИЯ, отображается в отчете, программа блокирует объект и затем очищает, удаляет или перемещает его в карантин.
Перед изменением порогового значения (или уровня) защиты для КАТЕГОРИИ ознакомьтесь со следующим:
Пороговое значение |
Описание |
---|---|
Агрессивный |
Сообщения об обнаружении агрессивного (или более низкого) уровня блокируются, и запускается автоматическое устранение неисправностей (т. е. очистка). Этот параметр рекомендуется, если все конечные точки были отсканированы с агрессивными настройками и в исключения обнаружения были добавлены объекты с ложным классифицированием. |
Сбалансированный |
Обнаружения сбалансированного (или более низкого) уровня блокируются, после чего запускается автоматическое исправление (т. е. очистка). |
Осторожный |
Обнаружения осторожного уровня блокируются, и запускается автоматическое исправление (т. е. очистка). |
Выкл. |
Полезно для идентификации и исключения ложных сообщений об объектах. |
Рекомендации
НЕУПРАВЛЯЕМАЯ (Индивидуальная рабочая станция клиента)
Сохраняйте рекомендуемые значения по умолчанию.
УПРАВЛЯЕМАЯ СРЕДА
Обычно эти настройки применяются к рабочим станциям с помощью политики.
1. Начальная фаза
Эта фаза может занять до недели.
- Настройте все пороговые значения Обнаружения на Сбалансированный.
ПРИМЕЧАНИЕ: При необходимости настройте на Агрессивный. - Настройте или оставьте Защиту для вредоносных программ на Сбалансированный.
- Настройте Защиту для других КАТЕГОРИЙ на Осторожный.
ПРИМЕЧАНИЕ: На этой фазе не рекомендуется настраивать пороговое значение Защиты на Агрессивный, поскольку будут исправлены все обнаруженные объекты, в том числе и ложно идентифицированные. - Определите фальшиво идентифицированные объекты из Журнала обнаружения и добавьте их в Исключения из обнаружения.
2. Переходная фаза
- Внедрите «производственную фазу» в некоторые рабочие станции в качестве тестовой (не для всех рабочих станций в сети).
3. Производственная фаза
- Настройте все пороговые значения Защиты на Сбалансированный.
- При удаленном управлении используйте соответствующую предопределённую политику защиты от вирусов для ESET Endpoint Antivirus.
- Агрессивное пороговое значение защиты можно установить, если требуется максимальный уровень обнаружения и принимаются ошибочно идентифицированные объекты.
- Проверьте Журнал обнаружения или ESET PROTECT отчеты на наличие возможных пропущенных обнаружений.