Модулі захисту
Модулі захисту захищають систему від зловмисних атак, контролюючи обмін файлами, користування електронною поштою та Інтернетом. Наприклад, якщо об’єкт класифіковано як шкідливе програмне забезпечення, запускається його виправлення. Модулі захисту можуть знешкодити його: він блокується, потім очищається, видаляється або переміщується до карантину.
Щоб точніше налаштувати захист, виберіть пункти Додаткові параметри > Модулі захисту.
Зміни до параметрів модулів захисту має вносити лише досвідчений користувач. Неправильна конфігурація параметрів може призвести до зниження рівня захисту. |
У цьому розділі:
Реагування на виявлені об’єкти
У розділі "Реагування на виявлені об’єкти" можна налаштувати рівні захисту для таких категорій:
- Виявлення шкідливого програмного забезпечення (на основі машинного навчання) – Комп’ютерний вірус — частина шкідливого коду, попередньо відкладена або додана до наявних файлів на комп’ютері. Проте, термін "вірус" часто вживають помилково. Більш точний термін — "шкідливе програмне забезпечення (шкідливі програми)". Виявлення шкідливого програмного забезпечення здійснюється ядром виявлення в поєднанні з компонентом машинного навчання. Докладніше про ці типи програм див. в глосарії.
- Потенційно небажані програми – умовно шкідливе ПЗ або потенційно небажані програми (PUA, Potentially Unwanted Application) — це широка категорія програмного забезпечення, яке не можна однозначно віднести до шкідливого ПЗ за аналогією з такими безумовно шкідливими програмами, як віруси або трояни. Ці програми можуть інсталювати додаткове небажане ПЗ, змінювати поведінку або налаштування цифрового пристрою, а також виконувати неочікувані для користувача дії або не підтверджені ним. Докладніше про ці типи програм див. в глосарії.
- Підозрілі програми — це, зокрема, програми, стиснуті пакувальниками або протекторами. Зловмисники часто використовують такі типи захисту, щоб запобігти виявленню шкідливого програмного забезпечення.
- Потенційно небезпечні програми – комерційне легальне програмне забезпечення, що може використовуватися для зловмисних цілей. До потенційно небезпечних програм належать інструменти віддаленого доступу, програми для зламу паролів і клавіатурні шпигуни (програми, які записують кожне натискання клавіш, зроблене користувачем). Докладніше про ці типи програм див. в глосарії.
Покращений захист У модулях захисту тепер упроваджено розширене машинне навчання — удосконалений рівень захисту, який покращує виявлення на основі машинного навчання. Докладніше про цей тип захисту див. в глосарії. |
Налаштування звітування
Коли виявлено певний об’єкт (наприклад, знайдено загрозу, класифіковану як шкідливе програмне забезпечення), інформація про це записується в журнал виявлених об’єктів, а на робочому столі з’являються сповіщення, якщо це налаштовано в ESET Endpoint Antivirus.
Пороговий рівень звітування налаштовується для кожної з таких категорій (далі — КАТЕГОРІЯ):
- Виявлення шкідливого програмного забезпечення
- Потенційно небажані програми
- Потенційно небезпечні програми
- Підозрілі програми
Операції звітування виконуються ядром виявлення, зокрема й компонентом машинного навчання. Можна задати більш високий поріг звітування, ніж поточний поріг захисту. Ці параметри звітування не впливають на блокування, очищення чи видалення об’єктів.
Ознайомтеся з наведеною нижче інформацією, перш ніж змінювати поріг (або рівень) звітування для КАТЕГОРІЇ:
Поріг |
Пояснення |
---|---|
Агресивний |
Для звітування про КАТЕГОРІЮ налаштована максимальна чутливість. Програма буде повідомляти про більшу кількість виявлених об’єктів. Використання параметрів рівня Агресивний може призвести до помилкового визначення об’єктів як таких, що належать до КАТЕГОРІЇ. |
Збалансований |
Для звітування про КАТЕГОРІЮ налаштовано збалансований рівень. Цей параметр дає змогу збалансувати продуктивність і точність виявлення й кількість помилково визначених об’єктів. |
Помірний |
Для звітування про КАТЕГОРІЮ налаштовано мінімізацію кількості помилково визначених об’єктів зі збереженням достатнього рівня захисту. Об’єкти реєструються тільки тоді, коли ймовірність очевидна й відповідає поведінці КАТЕГОРІЇ. |
Вимкнено |
Звітування про КАТЕГОРІЮ не активовано. Пошук (очищення) об’єктів цього типу не виконується. У результаті цей параметр вимикає захист від об’єктів цього типу. |
Доступність модулів захисту ESET Endpoint Antivirus
Визначення версії продукту, версій модуля продукту й дат збірки
Тези
Наводимо кілька тез щодо налаштування відповідного порогового рівня для вашого середовища:
- Поріг Збалансований рекомендується для більшості налаштувань.
- Поріг Помірний рекомендується для тих середовищ, де пріоритетом є мінімізація хибно виявлених об’єктів програми безпеки.
- Що вище рівень звітування, то вище частота виявлення й імовірність хибно ідентифікувати об’єкти.
- Фактично не існує гарантії виявлення 100 % шкідливих об’єктів, як і гарантії повного уникнення неправильної категоризації нешкідливих об’єктів як шкідливих.
- Своєчасно оновлюйте ESET Endpoint Antivirus і його модулі, щоб забезпечити максимально оптимальний баланс між продуктивністю й точністю виявлення та кількістю хибно виявлених об’єктів.
Налаштування захисту
Якщо повідомляється про об’єкт, віднесений до КАТЕГОРІЇ, програма захисту блокує його, а потім очищає, видаляє або переміщує його в карантин.
Ознайомтеся з наведеною нижче інформацією, перш ніж змінювати поріг (або рівень) для захисту КАТЕГОРІЇ:
Поріг |
Пояснення |
---|---|
Агресивний |
Об’єкти, виявлені із застосуванням агресивного (або нижчого) рівня параметрів, блокуються. Після цього розпочинається автоматичне виправлення (очищення). Цей параметр рекомендований, якщо всі кінцеві точки проскановані з використанням параметрів агресивного рівня, а помилково визначені об’єкти додані в список виключень. |
Збалансований |
Об’єкти, виявлені із застосуванням збалансованого (або нижчого) рівня параметрів, блокуються. Після цього розпочинається автоматичне виправлення (очищення). |
Помірний |
Об’єкти, виявлені із застосуванням помірного рівня параметрів, блокуються. Після цього розпочинається автоматичне виправлення (очищення). |
Вимкнено |
Корисно для ідентифікації й виключення помилково визначених об’єктів. |
Рекомендації
НЕКЕРОВАНЕ СЕРЕДОВИЩЕ (окрема клієнтська робоча станція)
Не змінюйте рекомендовані значення за замовчуванням.
КЕРОВАНЕ СЕРЕДОВИЩЕ
Зазвичай ці параметри застосовуються до робочих станцій через політику.
1. Початковий етап
Цей етап може тривати тиждень.
- Установіть для всіх порогів Звітування значення Збалансований.
ПРИМІТКА: За потреби встановіть значення Агресивний. - Для політики Захист для шкідливого програмного забезпечення встановіть або збережіть рівень Збалансований.
- Для інших КАТЕГОРІЙ для політики Захист установіть значення Помірний.
ПРИМІТКА: На цьому етапі не рекомендується задавати політиці Захист пороговий рівень Агресивний, оскільки в цьому разі всі виявлені об’єкти (зокрема й хибно виявлені) будуть виправлені. - Визначте хибно виявлені об’єкти в журналі виявлень і спочатку додайте їх у список Виключення об’єктів виявлення.
2. Перехідний етап
- Виконайте процедури етапу впровадження на певних робочих станціях (не для всіх робочих станцій у мережі).
3. Етап упровадження
- Для всіх політик Захист установіть рівень Збалансований.
- Якщо керування здійснюється віддалено, використовуйте відповідну попередньо визначену політику антивірусу для ESET Endpoint Antivirus.
- Якщо потрібний максимально високий ступінь виявлення, а кількість хибно виявлених об’єктів не є пріоритетом, установіть рівень захисту Агресивний.
- Перевірте, чи всі виявлені об’єкти є в журналі виявлення або звітах ESET PROTECT.