保护
保护功能通过控制文件、电子邮件和 Internet 通信来防范恶意系统攻击。例如,如果检测到归类为恶意软件的对象,将开始消除。保护功能可以通过阻止它,然后清除、删除或将其移至隔离区来消除威胁。
要详细地配置保护功能,请打开高级设置 > 保护。
应该仅由有经验的用户来更改保护。对设置的错误配置可能会导致系统不稳定。 |
在本部分中:
检测响应
检测响应使您能够为以下类别配置报告和保护级别:
- 恶意软件检测(由机器学习提供支持) – 计算机病毒是一段预先附着或追加到计算机上现有文件的恶意代码。但是,术语“病毒”经常被误用。“恶意软件”(恶意的软件)是更准确的术语。恶意软件检测由结合了机器学习组件的检测引擎模块执行。请在词汇表中阅读有关这些类型的应用程序的更多信息。
- 潜在不受欢迎的应用程序 - 灰色软件或潜在不受欢迎的应用程序 (PUA) 是一种广泛的软件类别,其意图不像其他类型的恶意软件(如病毒或木马)那样具有明确的恶意。但它可能安装其他不受欢迎的软件、更改数字设备的行为,或者执行用户未批准的活动或意料之外的活动。请在词汇表中阅读有关这些类型的应用程序的更多信息。
- 可疑应用程序 - 包括使用加壳程序或保护程序压缩的程序。这些类型的保护程序通常被恶意软件作者用来逃避检测。
- 潜在不安全的应用程序 - 是指有可能被滥用于恶意用途的合法商业软件。潜在的不安全应用程序 (PUA) 的示例包括远程访问工具、密码破解应用程序以及按键记录器(记录用户键盘输入信息的程序)等。此选项默认情况下处于禁用状态。请在词汇表中阅读有关这些类型的应用程序的更多信息。
改进的防护 高级机器学习现在作为高层次防护成为保护的一部分,可根据机器学习改进检测。在词汇表中详细了解此类防护。 |
报告设置
当发生检测时(例如,发现威胁和归类为恶意软件),信息将记录到检测日志,如果在 ESET Endpoint Security 中进行了配置,将发生桌面通知。
为每个类别(作为“CATEGORY”引用)配置报告阈值:
- 恶意软件检测
- 潜在不受欢迎的应用程序
- 潜在不安全
- 可疑应用程序
通过检测引擎进行报告,包括机器学习组件。可以设置比当前防护阈值更高的报告阈值。这些报告设置不影响阻止、清除或删除对象。
为 CATEGORY 报告修改阈值(或级别)前阅读以下内容:
阈值 |
解释 |
---|---|
具有攻击性 |
CATEGORY 报告配置为最高敏感度。报告了更多检测。具有攻击性设置可能会将对象错误地识别为 CATEGORY。 |
均衡 |
CATEGORY 报告配置为均衡。优化了此设置以均衡检测率和误报对象数量的性能和准确性。 |
注意 |
CATEGORY 报告配置为最大程度地减少错误识别的对象,同时维持足够级别的防护。仅当可能性显而易见并且匹配 CATEGORY 行为时才报告对象。 |
关 |
CATEGORY 的报告不活动,并且不查找、报告或清除此类型的检测。因此,此设置将从此检测类型中禁用防护。 |
ESET Endpoint Security 防护模块的可用性
要点
为环境设置适当阈值的几项要点:
- 为大多数设置建议均衡阈值。
- 对于优先侧重于最大程度地减少由安全软件错误识别的对象的环境,建议使用注意阈值。
- 更高的报告阈值,更高的检测率,但错误识别对象的机会更高。
- 从真实世界角度来看,不能保证 100% 的检测率和 0% 的机会来避免错误地将干净对象归类为恶意软件。
- 保持 ESET Endpoint Security 及其模块最新,以最大程度地保持性能、检测率的准确性与误报对象数量之间的平衡。
防护设置
如果报告归类为 CATEGORY 的对象,程序会阻止该对象,然后对它清除、删除或将其移动到隔离区。
为 CATEGORY 保护修改阈值(或级别)前阅读以下内容:
阈值 |
解释 |
---|---|
具有攻击性 |
报告的具有攻击性(或更低)级别检测被阻止,自动修复(即,清除)会启动。当使用具有攻击性设置扫描了所有端点并且误报的对象已添加到检测排除中时,建议使用此设置。 |
均衡 |
报告的均衡(或更低)级别检测被阻止,自动修复(即,清除)会启动。 |
注意 |
报告的注意级别检测被阻止,自动修复(即,清除)会启动。 |
关 |
有助于识别和排除误报的对象。 |
最佳做法
未托管(单个客户端工作站)
原样保留默认建议值。
受管环境
这些设置通常通过策略应用到工作站。
1.初始阶段
此阶段可能需要一周的时间。
- 将所有报告阈值设置为均衡。
注意:如果需要,请设置为具有攻击性。 - 设置或保留恶意软件的防护为均衡。
- 将其他类别的防护设置为注意。
注意:不建议您在此阶段将防护阈值设置为具有攻击性,因为所有发现的检测(包括错误识别的检测)都将得到修复。 - 在检测日志中识别错误识别的对象,然后先将它们添加到检测排除。
2.过渡阶段
- 对某些工作站实施“生产阶段”作为测试(不适用于网络上的所有工作站)。