检测引擎（7.2 及更高版本）

检测引擎通过控制文件、电子邮件和 Internet 通信，来抵御恶意系统攻击。例如，如果检测到归类为恶意软件的对象，将开始清除。检测引擎可以通过先阻止它，然后清除、删除或将其移至隔离区来消除威胁。

要详细配置检测引擎设置，请单击高级设置或按 F5。

在本部分中：

•实时和机器学习保护类别

•恶意软件扫描

•报告设置

•防护设置

•最佳做法

---

 

实时和机器学习保护类别

针对所有防护模块（例如，文件系统实时防护、Web 访问保护...）的实时和机器学习保护允许您配置以下类别的报告和防护级别：

•恶意软件 – 计算机病毒是一条预置或附加到计算机上现有文件的恶意代码。但是，术语“病毒”经常被误用。“恶意软件”（恶意的软件）是更准确的术语。恶意软件检测由结合了机器学习组件的检测引擎模块执行。
请阅读词汇表中关于这些类型的应用程序的更多信息。

•潜在不受欢迎的应用程序 - 灰色软件或潜在不受欢迎的应用程序 (PUA) 是一种广泛的软件类别，其意图不像其他类型的恶意软件（如病毒或木马）那样具有明确的恶意。但它可能安装其他不受欢迎的软件、更改数字设备的行为，或者执行用户未批准的活动或意料之外的活动。
请阅读词汇表中关于这些类型的应用程序的更多信息。

•潜在的不安全应用程序 - 是指有可能被滥用于恶意用途的合法商业软件。潜在的不安全应用程序 (PUA) 的示例包括远程访问工具、密码破解应用程序以及按键记录器（记录用户键盘输入信息的程序）等。此选项默认情况下处于禁用状态。
请阅读词汇表中关于这些类型的应用程序的更多信息。

•可疑应用程序包括使用加壳程序或保护程序压缩的程序。这些类型的保护程序通常被恶意软件作者用来逃避检测。

---

 

恶意软件扫描

可以为实时扫描程序和手动扫描程序单独配置扫描程序设置。默认情况下，使用实时防护设置处于启用状态。当启用时，相关手动扫描设置从实时和机器学习保护部分继承。

---

 

报告设置

当发生检测时（例如，发现威胁和归类为恶意软件），信息将记录到检测日志，如果在 ESET Endpoint Security 中进行了配置，将发生桌面通知。

为每个类别（作为“CATEGORY”引用）配置报告阈值：

1.恶意软件

2.潜在不受欢迎的应用程序

3.潜在不安全

4.可疑应用程序

通过检测引擎进行报告，包括机器学习组件。可以设置比当前防护阈值更高的报告阈值。这些报告设置不影响阻止、清除或删除对象。

为 CATEGORY 报告修改阈值（或级别）前阅读以下内容：

ESET Endpoint Security 防护模块的可用性

确定产品版本、程序模块版本和内部版本日期

要点

为环境设置适当阈值的几项要点：

•为大多数设置建议均衡阈值。

•注意阈值表示从 ESET Endpoint Security 之前的版本（7.1 及更低版本）可比较的防护级别。建议用于优先级侧重于最大程度减少由安全软件错误识别的对象的环境。

•更高的报告阈值，更高的检测率，但错误识别对象的机会更高。

•从真实世界角度来看，不能保证 100% 的检测率和 0% 的机会来避免错误地将干净对象归类为恶意软件。

•保持 ESET Endpoint Security 及其模块最新，以最大程度地保持性能、检测率的准确性与误报对象数量之间的平衡。

---

 

防护设置

如果报告归类为 CATEGORY 的对象，程序会阻止该对象，然后对它清除、删除或将其移动到隔离区。

为 CATEGORY 保护修改阈值（或级别）前阅读以下内容：

适用于 ESET Endpoint Security 7.1 及更低版本的 ESMC 策略转换表

---

 

最佳做法

未托管（单个客户端工作站）

原样保留默认建议值。

受管环境

这些设置通常通过策略应用到工作站。

1. 初始阶段

此阶段可能需要一周的时间。

•将所有报告阈值设置为均衡。
注意，如果需要，请设置为具有攻击性。

•设置或保留恶意软件的防护为均衡。

•将其他类别的防护设置为注意。
注意： 不建议您在此阶段将防护阈值设置为具有攻击性，因为所有发现的检测（包括错误识别的检测）都将得到修复。

•在检测日志中识别错误识别的对象，然后先将它们添加到检测排除。

2. 过渡阶段

•对某些工作站实施“生产阶段”作为测试（不适用于网络上的所有工作站）。

3. 生产阶段

•将所有防护阈值设置为均衡。

•远程管理时，将适合的病毒防护预定义策略用于 ESET Endpoint Security。

•如果要求最高的检测率并且接受错误识别的对象，则可以设置具有攻击性防护阈值。

•检查检测日志或 ESMC 报告，以查找可能丢失的检测。

˄˅