Защита
Защита предотвращает вредоносные атаки на компьютер путем контроля файлов, электронной почты и связи через Интернет. Например, при обнаружении объекта, который классифицируется как «вредоносная программа» начнется процесс исправления. Функция защиты может устранить угрозу, сначала заблокировав его, а затем очистив, удалив или переместив в карантин.
Чтобы детально настроить защиту, откройте раздел Расширенные параметры > Защита.
Изменения в настройки защиты должны вносить только опытные пользователи. Неправильная настройка этих параметров может привести к снижению уровня защиты. |
В этом разделе:
Реагирование при обнаружении
В разделе «Реагирование при обнаружении» можно настроить уровни отчетности и защиты для следующих категорий:
- Обнаружение вредоносных программ (на основе машинного обучения) – Компьютерный вирус — это фрагмент вредоносного кода, который добавляется в начало или конец файлов на компьютере. Тем не менее термин «вирус» часто используется не по назначению. Более точный термин — «вредоносная программа» («вредоносное ПО»). Обнаружение вредоносных программ осуществляется модулем обнаружения в сочетании с компонентом машинного обучения. Дополнительную информацию о приложениях этого типа см. в глоссарии.
- Потенциально нежелательные приложения. Потенциально нежелательные приложения представляют собой довольно широкую категорию программного обеспечения, задачей которого не является однозначно вредоносная деятельность в отличие от других типов вредоносных программ, таких как вирусы или троянские программы. Однако такое приложение может устанавливать дополнительное нежелательное программное обеспечение, изменять поведение цифрового устройства, а также выполнять действия без запроса или разрешения пользователя. Дополнительную информацию о приложениях этого типа см. в глоссарии.
- К подозрительным приложениям относятся программы, сжатые с помощью программ-упаковщиков или средств защиты. Средства защиты такого типа часто используются злоумышленниками, чтобы избежать обнаружения.
- Потенциально опасные приложения: это определение относится к законному коммерческому программному обеспечению, которое может быть использовано для причинения вреда. К потенциально опасным приложениям относятся средства удаленного доступа, приложения для взлома паролей и клавиатурные шпионы (программы, регистрирующие каждое нажатие пользователем клавиш на клавиатуре). Дополнительную информацию о приложениях этого типа см. в глоссарии.
Улучшенная защита Расширенное машинное обучение – это часть защит, к качестве дополнительного уровня защиты на основе машинного обучения, который улучшает работу функции обнаружения. Дополнительную информацию об этом типе защиты см. в глоссарии. |
Настройка обнаружения
При обнаружении (например, угроза обнаруживается и классифицируется, как вредоносная программа) информация передается в Журнал обнаружения и появляются Уведомления на рабочем столе, если они настроены в меню ESET Endpoint Antivirus.
Пороговое значение обнаружения настраивается для каждой категории (далее – «КАТЕГОРИЯ»):
- Обнаружение вредоносных программ
- Потенциально нежелательные приложения
- Потенциально опасный
- Подозрительные приложения
Обнаружения выполняются с помощью модуля обнаружения, включая компонент машинного обучения. Можно установить более высокое пороговое значение отчетности по сравнению с текущим значением защиты. Эти настройки отчетности не влияют на блокировку, очищение или удаление объектов.
Перед изменением порогового значения (или уровня) отчетности для КАТЕГОРИИ ознакомьтесь со следующим:
Пороговое значение |
Описание |
---|---|
Агрессивный |
Функция обнаружения КАТЕГОРИИ настроена на максимальную чувствительность. Случаев обнаружения будет больше. При уровне Агрессивный функция может ошибочно считать объекты КАТЕГОРИЯМИ. |
Сбалансированный |
Установлен сбалансированный уровень функции обнаружения КАТЕГОРИИ. Эта настройка должна обеспечивать оптимальный баланс производительности, точности обнаружения и количества ложных обнаружений. |
Осторожный |
Уровень функции обнаружения КАТЕГОРИИ настроен таким образом, чтобы уменьшить количество ложных обнаружений, но при этом сохранить достаточный уровень защиты. Объекты считаются такими, только если их поведение явно соответствует поведению КАТЕГОРИИ. |
Выкл. |
Функция обнаружения для КАТЕГОРИИ не активна, и обнаружения такого рода не обнаруживаются, не регистрируются и не очищаются. В результате, данная настройка отключает защиту от этого типа обнаружения. |
Доступность модулей защиты ESET Endpoint Antivirus
Определение версии продукта, версий модуля программы и даты сборки
Ключевые моменты
Несколько ключевых моментов при установке соответствующего порогового значения для вашей среды:
- Сбалансированное пороговое значение рекомендуется для большинства настроек.
- Осторожное пороговое значение рекомендуется для сред, в которых приоритетом является минимизация количества объектов, ложно выявленных программой защиты.
- Более высокий порог отчетности — более высокий уровень обнаружения, но более высокий шанс ложно идентифицированных объектов.
- С реальной точки зрения, нет гарантии 100 % обнаружения, а также 0 % шансов избежать неправильной классификации чистых объектов как вредоносных программ.
- Сохраняйте ESET Endpoint Antivirus и его модули в актуальном состоянии, чтобы обеспечить максимальный баланс между производительностью и точностью обнаружения и количеством ошибочно зарегистрированных объектов.
Настройка защиты
Если объект, классифицированный как КАТЕГОРИЯ, отображается в отчете, программа блокирует объект и затем очищает, удаляет или перемещает его в карантин.
Перед изменением порогового значения (или уровня) защиты для КАТЕГОРИИ ознакомьтесь со следующим:
Пороговое значение |
Описание |
---|---|
Агрессивный |
Сообщения об обнаружении агрессивного (или более низкого) уровня блокируются, и запускается автоматическое устранение неисправностей (т. е. очистка). Этот параметр рекомендуется, если все конечные точки были отсканированы с агрессивными настройками и в исключения обнаружения были добавлены объекты с ложным классифицированием. |
Сбалансированный |
Обнаружения сбалансированного (или более низкого) уровня блокируются, после чего запускается автоматическое исправление (т. е. очистка). |
Осторожный |
Обнаружения осторожного уровня блокируются, и запускается автоматическое исправление (т. е. очистка). |
Выкл. |
Полезно для идентификации и исключения ложных сообщений об объектах. |
Рекомендации
НЕУПРАВЛЯЕМАЯ (Индивидуальная рабочая станция клиента)
Сохраняйте рекомендуемые значения по умолчанию.
УПРАВЛЯЕМАЯ СРЕДА
Обычно эти настройки применяются к рабочим станциям с помощью политики.
1. Начальная фаза
Эта фаза может занять до недели.
- Настройте все пороговые значения Обнаружения на Сбалансированный.
ПРИМЕЧАНИЕ: При необходимости настройте на Агрессивный. - Настройте или оставьте Защиту для вредоносных программ на Сбалансированный.
- Настройте Защиту для других КАТЕГОРИЙ на Осторожный.
ПРИМЕЧАНИЕ: На этой фазе не рекомендуется настраивать пороговое значение Защиты на Агрессивный, поскольку будут исправлены все обнаруженные объекты, в том числе и ложно идентифицированные. - Определите фальшиво идентифицированные объекты из Журнала обнаружения и добавьте их в Исключения из обнаружения.
2. Переходная фаза
- Внедрите «производственную фазу» в некоторые рабочие станции в качестве тестовой (не для всех рабочих станций в сети).
3. Производственная фаза
- Настройте все пороговые значения Защиты на Сбалансированный.
- При удаленном управлении используйте соответствующую предопределённую политику защиты от вирусов для ESET Endpoint Antivirus.
- Агрессивное пороговое значение защиты можно установить, если требуется максимальный уровень обнаружения и принимаются ошибочно идентифицированные объекты.
- Проверьте Журнал обнаружения или ESET PROTECT On-Prem отчеты на наличие возможных пропущенных обнаружений.