Motor de detección

El motor de detección protege frente a ataques maliciosos al sistema controlando la comunicación de archivo, correo electrónico e Internet. Por ejemplo, si se detecta un objeto clasificado como malware, se inicia la corrección. El motor de detección puede eliminar este objeto bloqueándolo primero y, a continuación, desinfectándolo, eliminándolo o poniéndolo en cuarentena.

Para configurar los ajustes detallados del motor de detección, haga clic en Configuración avanzada o pulse F5.

En esta sección:

Categorías de protección en tiempo real y de aprendizaje automático

Análisis de malware

Configuración de informes

Configuración de la protección

Prácticas recomendadas


note

A partir de la versión 7.2, la sección Motor de detección ya no incluye interruptores de activación/desactivación como en la versión 7.1 y anteriores. Los botones de activación/desactivación han sido sustituidos por cuatro umbrales: Agresivo, Equilibrado, Precavido y Desactivado.


 

Categorías de protección en tiempo real y de aprendizaje automático

Protección en tiempo real y de aprendizaje automático en todos los módulos de protección (por ejemplo, Protección del sistema de archivos en tiempo real, Protección de acceso a la web, etc.) le permite configurar informes y niveles de protección de las siguientes categorías:

Malware: un virus informático es un fragmento de código malicioso que antecede o sigue a los archivos existentes en el ordenador. Sin embargo, el término "virus" suele utilizarse de forma inadecuada. "Malware" (software malicioso) es un término más exacto. La detección de malware la realiza el módulo del motor de detección en combinación con el componente de aprendizaje automático.
Puede obtener más información sobre estos tipos de aplicaciones en el glosario.

Aplicaciones potencialmente indeseables: el grayware, o aplicaciones potencialmente indeseables (PUA), es una amplia categoría de software no inequívocamente malicioso, al contrario de lo que sucede con otros tipos de malware, como virus o troyanos. Sin embargo, puede instalar software adicional indeseable, cambiar el comportamiento del dispositivo digital o realizar actividades no aprobadas o esperadas por el usuario.
Puede obtener más información sobre estos tipos de aplicaciones en el glosario.

Aplicaciones potencialmente peligrosas: hace referencia a software comercial legítimo que puede utilizarse con fines maliciosos. Entre los ejemplos de este tipo de aplicaciones potencialmente peligrosas (PUA) encontramos herramientas de acceso remoto, aplicaciones para detectar contraseñas y registradores de pulsaciones (programas que registran cada tecla pulsada por un usuario).
Puede obtener más información sobre estos tipos de aplicaciones en el glosario.

Entre las aplicaciones sospechosas se incluyen programas comprimidos con empaquetadores o protectores. Los autores de código malicioso con frecuencia explotan estos tipos de protectores para evitar ser detectados.

CONFIG_SCANNER


note

Aprendizaje automático avanzado forma ahora parte del motor de detección como capa avanzada de protección que mejora la detección con aprendizaje automático. Lea más información sobre este tipo de protección en el glosario.


 

Análisis de malware

Los ajustes del análisis se pueden configurar de forma independiente para el análisis en tiempo real y el análisis a petición. De forma predeterminada, Usar ajustes de protección en tiempo real está activado. Cuando está activado, los ajustes del análisis a petición relevantes se heredan de la sección Protección en tiempo real y de aprendizaje automático.


 

Configuración de informes

Cuando se produce una detección (por ejemplo, se encuentra una amenaza y se clasifica como malware), se registra información en el Registro de detecciones, y se producen Notificaciones en el escritorio si está configurado en ESET Endpoint Security.

Se configura el umbral de informes para cada categoría (denominada "CATEGORÍA"):

1.Malware

2.Aplicaciones potencialmente indeseables

3.Potencialmente peligrosas

4.Aplicaciones sospechosas

Se realizan informes con el motor de detección, incluido el componente de aprendizaje automático. Es posible establecer un umbral de informes más alto que el umbral de protección actual. Estos ajustes de informes no influyen en la acción de bloquear, desinfectar o eliminar objetos.

Lea lo siguiente antes de modificar un umbral (o nivel) de informes de CATEGORÍA:

Umbral

Explicación

Agresivo

Informes de CATEGORÍA configurados con la máxima sensibilidad. Se informa de más detecciones. El ajuste Agresivo pude identificar falsos positivos de CATEGORÍA.

Equilibrado

Informes de CATEGORÍA configurados como equilibrados. Este ajuste está optimizado para equilibrar el rendimiento y la precisión de las detecciones y el número de falsos positivos notificados.

Precavido

Informes de CATEGORÍA configurados para reducir al mínimo los falsos positivos a la vez que se mantiene un nivel de protección suficiente. Solo se informa de los objetos cuando la probabilidad es evidente y coincide con el comportamiento de CATEGORÍA.

Desactivado

Los informes de CATEGORÍA no están activos, y no se encuentran, notifican ni desinfectan detecciones de este tipo. Por lo tanto, este ajuste desactiva la protección frente a este tipo de detecciones.
Desactivado no está disponible para los informes de malware y es el valor predeterminado para las aplicaciones potencialmente peligrosas.

hmtoggle_plus0 Disponibilidad de los módulos de protección de ESET Endpoint Security

hmtoggle_plus0 Determinar versión del producto, versiones de los módulos del programa y fechas de compilación

Notas

Varias notas útiles a la hora de configurar un umbral apropiado para su entorno:

El umbral Equilibrado es el recomendado para la mayoría de las configuraciones.

El umbral Precavido representa un nivel de protección comparable al de las versiones anteriores de ESET Endpoint Security (7.1 y anteriores). Se recomienda para entornos en los que la prioridad sea reducir al mínimo los falsos positivos del software de seguridad.

Cuando más alto sea el umbral de informes, mayor será el número de detecciones, pero también será mayor la posibilidad de que se produzcan falsos positivos.

Desde la perspectiva del mundo real, no se pueden garantizar el 100 % de detección ni el 0 % de falsos positivos.

Mantenga ESET Endpoint Security y sus módulos actualizados para optimizar el equilibrio entre rendimiento y precisión en la detección y el número de falsos positivos.


 

Configuración de la protección

Si se informa de un objeto clasificado como CATEGORÍA, el programa bloquea el objeto y, a continuación, lo desinfecta, elimina o mueve a Cuarentena.

Lea lo siguiente antes de modificar un umbral (o nivel) de protección de CATEGORÍA:

Umbral

Explicación

Agresivo

Las detecciones de nivel agresivo (o inferior) de las que se informa se bloquean, y se inicia la corrección automática (es decir, la desinfección). Este ajuste se recomienda cuando se han analizado todos los puntos de conexión con ajustes agresivos y se han agregado los falsos positivos a las exclusiones de detección.

Equilibrado

Las detecciones de nivel equilibrado (o inferior) se bloquean, y se inicia la corrección automática (es decir, la desinfección).

Precavido

Las detecciones de nivel precavido se bloquean, y se inicia la corrección automática (es decir, la desinfección).

Desactivado

Útil para identificar y excluir falsos positivos.
Desactivado no está disponible para la protección contra malware y es el valor predeterminado para las aplicaciones potencialmente peligrosas.

hmtoggle_plus0 Tabla de conversión de políticas de ESET PROTECT para ESET Endpoint Security 7.1 y anteriores


 

Prácticas recomendadas

NO ADMINISTRADA (estación de trabajo cliente individual)

Mantenga los valores recomendados predeterminados tal cual.

ENTORNO ADMINISTRADO

Estos ajustes se suelen aplicar a las estaciones de trabajo mediante una política.

1. Fase inicial

Esta fase puede durar hasta una semana.

Configure todos los umbrales de Informe en Equilibrado.
NOTA: Si es necesario, configúrelos en Agresivo.

Configure o conserve Protección frente a malware como Equilibrado.

Configure Protección frente a otras CATEGORÍAS como Precavido.
NOTA: No se recomienda configurar el umbral de Protección como Agresivo en esta fase porque todas las detecciones encontradas se corregirían, incluidos los falsos positivos.

Identifique los falsos positivos en Registro de detecciones y agréguelos a Exclusiones de detección.

2. Fase de transición

Implemente la "Fase de producción" en algunas estaciones de trabajo a modo de prueba (no en todas las estaciones de trabajo de la red).

3. Fase de producción

Configure todos los umbrales de Protección como Equilibrado.

En la administración remota, use una política predefinida de antivirus apropiada para ESET Endpoint Security.

El umbral de protección Agresivo se puede seleccionar si se requieren los más altos índices de detección y se aceptan falsos positivos.

Compruebe en el Registro de detecciones o los informes de ESET PROTECT que no falte ninguna detección.