Detekteringsmotor
Detekteringsmotorn skyddar mot skadliga systemangrepp genom att kontrollera filer, e-post och internetkommunikation. Om till exempel ett objekt som är klassificerat som skadlig kod detekteras, så vidtas en åtgärd. Detekteringsmotorn kan eliminera det genom att först blockera det och sedan rensa, ta bort eller sätta det i karantän.
Om du vill konfigurera inställningarna för detekteringsmotorn i detalj klickar du på Avancerade inställningar eller trycker på F5.
I det här avsnittet:
- Kategorier för realtids- och maskininlärningsskydd
- Genomsökningar efter skadlig kod
- Rapporteringsinställningar
- Skyddsinställningar
- Praxis
Kategorier för realtids- och maskininlärningsskydd
Realtids- och maskininlärningsskyddet för alla skyddsmoduler (till exempel Skydd av filsystemet i realtid, Webbåtkomstskydd och så vidare) möjliggör inställning av rapporterings- och skyddsnivåer för följande kategorier:
- Skadlig kod – ett datorvirus är en bit skadlig kod som läggs till i befintliga filer på datorn. Begreppet ”virus” används dock ofta slarvigt. ”Malware” (skadlig kod) är en mer exakt term. Identifiering av skadlig kod utförs av detekteringsmotormodulen i kombination med maskininlärningskomponenten.
Läs mer om dessa programtyper i ordlistan.
- Potentiellt oönskade program – grayware eller potentiellt oönskade program (PUA; potentially unwanted application) är en bred kategori programvara vars syfte inte är direkt skadligt, till skillnad från andra typer av skadlig kod, som virus eller trojaner. De kan dock installera ytterligare oönskad programvara, ändra digitala enheters beteenden eller utföra aktiviteter som inte är godkända eller inte förväntas av användaren.
Läs mer om dessa programtyper i ordlistan. - Potentiellt farliga program – avser kommersiell programvara som kan missbrukas i skadliga syften. Exempel på sådana potentiellt farliga program (PUA) är verktyg för fjärråtkomst, program som spårar lösenord och keylogger-program (program som registrerar varje tangent användaren trycker ned).
Läs mer om dessa programtyper i ordlistan.
- Misstänkta program inkluderar program som komprimerats med komprimeringsprogram eller skydd. Dessa typer av skydd utnyttjas ofta av skadlig kod för att undvika upptäckt.
Avancerad maskininlärning ingår nu i detekteringsmotorn som ett avancerat skyddslager som förbättrar detekteringen baserat på maskininlärning. Läs mer om den här typen av skydd i ordlistan. |
Genomsökningar efter skadlig kod
Skannerinställningarna kan konfigureras separat för realtidsskannern och genomsökning på begäran. Som standard är Använd inställningar för realtidsskydd aktiverat. När detta är aktiverat hämtas relevanta inställningar för genomsökning på begäran från avsnittet Realtids- och maskininlärningsskydd.
Rapporteringsinställningar
När en detektering görs (till exempel att ett hot hittas och klassificeras som skadlig kod) registreras informationen i detekteringsloggen och det visas meddelanden på skrivbordet om detta har konfigurerats i ESET Endpoint Security.
Rapporteringströskelvärdet konfigureras för varje kategori (benämnd ”KATEGORI”):
- Skadlig kod
- Potentiellt oönskade program
- Potentiellt farliga
- Misstänkta program
Rapportering görs med detekteringsmotorn, inklusive maskininlärningskomponenten. Det går att ställa in ett högre rapporteringströskelvärde än det aktuella tröskelvärdet för skydd. Dessa rapporteringsinställningar påverkar inte blockering, rensning eller borttagning av objekt.
Läs följande innan du ändrar ett tröskelvärde (eller nivå) för KATEGORI-rapportering:
Tröskelvärde |
Förklaring |
---|---|
Aggressiv |
KATEGORI-rapportering är inställd på maximal känslighet. Fler detekteringar rapporteras. Inställningen Aggressiv kan felaktigt identifiera objekt som KATEGORI. |
Balanserad |
KATEGORI-rapportering är inställd på balanserad. Den här inställningen är optimerad för att balansera prestanda och tillförlitligheten hos detekteringsfrekvenser och antalet felaktigt rapporterade objekt. |
Försiktig |
KATEGORI-rapportering är inställd för att minimera antalet felaktigt identifierade objekt samtidigt som en tillräcklig skyddsnivå bibehålls. Objekt rapporteras endast när sannolikheten är uppenbar och matchar KATEGORI-beteendet. |
Av |
KATEGORI-rapportering är inte aktiv och detekteringar av den här typen varken hittas, rapporteras eller rensas. Med den här inställningen inaktiveras därför skydd mot den här detekteringstypen. |
Tillgänglighet för ESET Endpoint Security-skyddsmoduler
Fastställa produktversion, programmodulers versioner och versionsdatum
Att tänka på
Tänk på följande när ett lämpligt tröskelvärde väljs för din miljö:
- Tröskelvärdet Balanserad rekommenderas för de flesta konfigurationer.
- Tröskelvärdet Försiktig rekommenderas för miljöer där prioriteten ligger på att minimera antalet objekt som identifieras felaktigt av säkerhetsprogram.
- Ju högre tröskelvärde för rapportering, desto högre detekteringsgrad, men även högre risk för felaktigt identifierade objekt.
- I realiteten finns det ingen garanti för en 100 %-ig detekteringsgrad och det går aldrig helt att utesluta felaktig kategorisering av rena objekt som skadlig kod.
- Håll ESET Endpoint Security och dess moduler uppdaterade för att maximera balansen mellan prestanda och tillförlitliga detekteringsgrader och antalet felaktigt rapporterade objekt.
Skyddsinställningar
Om ett objekt klassificerat som KATEGORI rapporteras, så blockeras objektet av programmet som sedan rensar, tar bort eller sätter det i karantän.
Läs följande innan du ändrar ett tröskelvärde (eller nivå) för KATEGORI-skydd:
Tröskelvärde |
Förklaring |
---|---|
Aggressiv |
Rapporterade detekteringar på aggressiv (eller lägre) nivå blockeras och en automatisk åtgärd (det vill säga rensning) startas. Den här inställningen rekommenderas när alla endpoints har genomsökts med aggressiva inställningar och felaktigt rapporterade objekt har lagts till som detekteringsundantag. |
Balanserad |
Rapporterade detekteringar på balanserad (eller lägre) nivå blockeras och en automatisk åtgärd (det vill säga rensning) startas. |
Försiktig |
Rapporterade detekteringar på försiktig nivå blockeras och en automatisk åtgärd (det vill säga rensning) startas. |
Av |
Detta är användbart för att identifiera och utesluta felaktigt rapporterade objekt. |
Praxis
OHANTERAD (enskild klientarbetsstation)
Behåll de rekommenderade standardvärdena som de är.
HANTERAD MILJÖ
Dessa inställningar tillämpas vanligen på arbetsstationer via en policy.
1. Initial fas
Den här fasen kan ta upp till en vecka.
- Ställ in alla tröskelvärden för rapportering på Balanserad.
OBS: Öka inställningen till Aggressiv vid behov. - Ställ in eller behåll skyddet mot skadlig kod på Balanserad.
- Ställ in skyddet för andra KATEGORIER på Försiktig.
OBS: Det rekommenderas inte att ställa in ett tröskelvärde för skydd på Aggressiv i den här fasen eftersom alla gjorda detekteringar skulle åtgärdas, inklusive felaktigt identifierade sådana. - Identifiera först felaktigt identifierade objekt i detekteringsloggen och lägg till dem som detekteringsexkluderingar.
2. Övergångsfas
- Implementera produktionsfasen för några av arbetsstationerna som ett test (inte för alla arbetsstationer i nätverket).
3. Produktionsfas
- Ställ in alla tröskelvärde för skydd på Balanserad.
- Vid fjärrhantering ska en lämplig fördefinierad policy för virusskydd användas för ESET Endpoint Security.
- Tröskelvärdet Aggressiv kan ställas in om högsta detekteringsgrad krävs och felaktigt identifierade objekt accepteras.
- Kontrollera detekteringsloggen eller ESET PROTECT-rapporterna för möjliga missade detekteringar.