Moteur de détection

Le moteur de détection protège contre les attaques de systèmes malveillants en contrôlant les communications par fichiers, par courriels et par Internet. Par exemple, si un objet classé comme logiciel malveillant est détecté, la correction débute immédiatement. Le moteur de détection peut l'éliminer en le bloquant d'abord, puis en le nettoyant, en le supprimant ou en le mettant en quarantaine.

Pour configurer les paramètres du moteur de détection en détail, cliquez sur Configuration avancée ou appuyez sur la touche F5.

Dans cette section :

Catégories de protection en temps réel et d'apprentissage automatique

Analyses de logiciels malveillants

Configuration des signalements

Configuration de la protection

Meilleures pratiques


note

A partir de la version 7.2, la section Moteur de détection ne propose plus de commutateurs ACTIVÉ/DÉSACTIVÉ comme dans la version 7.1 et les versions antérieures. Les commutateurs ACTIVÉ/DÉSACTIVÉ ont été remplacés par quatre seuils - Agressif, Équilibré, Prudent et Désactivé.


 

Catégories de protection en temps réel et d'apprentissage automatique

La protection en temps réel et apprentissage automatique pour tous les modules de protection (par exemple, protection en temps réel du système de fichiers, protection de l'accès Web, ...) vous permet de configurer les niveaux de signalement et de protection pour les catégories suivantes :

Logiciel malveillant – Un virus informatique est un code malveillant ajouté en début ou à la fin des fichiers existants sur votre ordinateur. Cependant, le terme « virus » est souvent mal utilisé. Logiciel malveillant est une expression plus précise. La détection des logiciels malveillants est effectuée par le module du moteur de détection combiné au composant d'apprentissage automatique.
Pour en savoir plus sur ces types d'application, consultez le glossaire.

Applications potentiellement indésirables Un logiciel gris ou une application potentiellement indésirable (PUA) désigne une vaste catégorie de logiciels, dont l'intention malveillante n'est pas aussi clairement établie qu'avec d'autres types de logiciels malveillants, tels que les virus ou les chevaux de Troie. Il peut cependant installer des logiciels indésirables supplémentaires, modifier le comportement ou les paramètres du périphérique numérique ou effectuer des activités non approuvées ou prévues par l'utilisateur.
Pour en savoir plus sur ces types d'application, consultez le glossaire.

Les applications potentiellement dangereuses sont des logiciels commerciaux légitimes susceptibles d'être utilisés à des fins malveillantes. Elles comprennent des programmes comme des outils d'accès à distance, les applications de craquage de mot de passe et les enregistreurs de frappe.
Pour en savoir plus sur ces types d'application, consultez le glossaire.

Les applications potentiellement suspectes incluent les programmes comprimés à l'aide de logiciels de compression ou de protecteurs. Ces types de protecteurs sont souvent exploités par des créateurs de logiciels malveillants pour contourner leur détection.

CONFIG_SCANNER


note

L'apprentissage automatique avancé fait maintenant partie du moteur de détection en tant que couche de protection avancée qui améliore la détection basée sur l'apprentissage automatique. Pour en savoir plus sur ce type de protection, consultez le glossaire.


 

Analyses de logiciels malveillants

Les paramètres de l'analyseur peuvent être configurés séparément pour l'analyseur en temps réel et l'analyseur à la demande. Par défaut, Utiliser les paramètres de protection en temps réel est activé. Lorsque cette option est activée, les paramètres d'analyse à la demande pertinents sont hérités de la section Protection en temps réel et apprentissage automatique.


 

Configuration des signalements

Lorsqu'une détection se produit (par exemple, une menace est détectée et classée comme logiciel malveillant), les informations sont enregistrées dans le journal de détection et des notifications de bureau s'affichent si elles sont configurées dans ESET Endpoint Antivirus.

Le seuil de signalement est configuré pour chaque catégorie (appelée « CATÉGORIE ») :

1.Logiciel malveillant

2.Applications potentiellement indésirables

3.Potentiellement dangereux

4.Applications suspectes

Signalement effectué avec le moteur de détection, y compris le composant d'apprentissage automatique. Il est possible de fixer un seuil de signalement plus élevé que le seuil actuel de protection. Ces paramètres de signalement n'influencent pas le blocage, le nettoyage ou la suppression des objets.

Lisez ce qui suit avant de modifier un seuil (ou un niveau) pour le signalement de CATÉGORIE :

Seuil

Explication

Agressif

Signalement de la CATÉGORIE configurée avec une sensibilité maximale. Plus de détections sont signalées. Le paramètre Agressif peut identifier à tort des objets comme étant CATÉGORIE.

Équilibré

Signalement de la CATÉGORIE configurée sur Équilibré. Ce paramètre est optimisé pour équilibrer les performances et la précision des taux de détection et du nombre d'objets faux positifs.

Prudent

Signalement de la CATÉGORIE configurée pour réduire au minimum les objets faux positifs tout en maintenant un niveau de protection suffisant. Les objets ne sont signalés que lorsque la probabilité est évidente et correspond au comportement de CATÉGORIE.

Désactivé

Le signalement d'une CATÉGORIE n'est pas actif et les détections de ce type ne sont pas trouvées, signalées ou nettoyées. Par conséquent, ce paramètre désactive la protection de ce type de détection.
Désactivé n'est pas disponible pour les signalements de logiciels malveillants et c'est la valeur par défaut pour les applications potentiellement dangereuses.

hmtoggle_plus0 Disponibilité des modules de protection de ESET Endpoint Antivirus

hmtoggle_plus0 Déterminer la version du produit, les versions des modules du programme et les dates de construction

Conseils

Quelques conseils pour établir un seuil approprié à votre environnement :

Le seuil Équilibré est recommandé pour la plupart des configurations.

Le seuil Prudent représente un niveau de protection comparable à celui des versions précédentes de ESET Endpoint Antivirus (7.1 versions inférieures). Cette option est recommandée dans les environnements où la priorité est de réduire au minimum les faux positifs identifiés par les logiciels de sécurité.

Plus le seuil de signalement est élevé, plus le taux de détection est élevé, mais plus il y a de chances que des objets soient faussement identifiés.

En pratique, il n'est pas possible de garantir un taux de détection de 100 %. De même il n'est pas possible d'éviter toute classification erronée des objets propres comme logiciels malveillants.

Conservez ESET Endpoint Antivirus et ses modules à jour pour optimiser l’équilibre entre les performances et la précision des taux de détection et le nombre de faux positifs.


 

Configuration de la protection

Si un objet classé comme CATÉGORIE est signalé, le programme bloque l'objet, puis le nettoie, le supprime ou le déplace vers la quarantaine.

Lisez ce qui suit avant de modifier un seuil (ou un niveau) pour la protection contre les CATÉGORIE :

Seuil

Explication

Agressif

Les détections de niveau agressif (ou inférieur) signalées sont bloquées et la correction automatique (c'est-à-dire le nettoyage) est lancée. Ce paramètre est recommandé lorsque tous les terminaux ont été analysés avec des paramètres agressifs et que des objets faussement signalés ont été ajoutés aux exclusions de détection.

Équilibré

Les détections de niveau équilibré (ou inférieur) signalées sont bloquées et la correction automatique (c'est-à-dire le nettoyage) est lancée.

Prudent

Les détections de niveau prudent signalées sont bloquées et la correction automatique (c'est-à-dire le nettoyage) est lancée.

Désactivé

Cette option est utile pour identifier et exclure les objets faussement signalés.
Désactivé n'est pas disponible pour la protection contre les logiciels malveillants et c'est la valeur par défaut pour les applications potentiellement dangereuses.

hmtoggle_plus0 Tableau de conversion des politiques d'ESET PROTECT pour ESET Endpoint Antivirus 7.1 et les versions inférieures


 

Meilleures pratiques

NON GÉRÉ (Poste client individuel)

Conservez les valeurs recommandées par défaut telles quelles.

ENVIRONNEMENT GÉRÉ

Ces paramètres sont généralement appliqués aux postes de travail à l'aide d'une politique.

1. Phase initiale

Cette phase peut prendre jusqu'à une semaine.

Mettez tous les seuils de signalement à Équilibré.
REMARQUE : Si nécessaire, configurez-les sur Aggressif.

Mettez ou conservez la protection contre les logiciels malveillants sur Équilibré.

Mettez la protection pour les autres CATÉGORIES sur Prudent.
REMARQUE : Il n'est pas recommandé de mettre le seuil de protection sur Agressif au cours de cette phase, car toutes les détections seraient corrigées, y compris les faux positifs.

Repérez les objets faussement identifiés à partir du journal de détections et ajoutez-les d'abord aux exclusions de détection.

2. Phase de transition

Mettez en œuvre la « phase de production » sur certains postes de travail à titre de test (pas pour tous les postes sur le réseau).

3. Phase de production

Configurez tous les seuils de protection sur Équilibré.

Lorsque la gestion est effectuée à distance, utilisez une politique antivirus appropriée prédéfinie pour ESET Endpoint Antivirus.

Le seuil de protection agressif peut être défini si les taux de détection les plus élevés sont requis et qu'il n'y a pas de problèmes à avoir des objets faussement identifiés.

Consultez le journal des détections ou les rapports d'ESET PROTECT pour voir d'éventuelles détections manquées.