Detekteringsmotor

Detekteringsmotorn skyddar mot skadliga systemangrepp genom att kontrollera filer, e-post och internetkommunikation. Om till exempel ett objekt som är klassificerat som skadlig kod detekteras, så vidtas en åtgärd. Detekteringsmotorn kan eliminera det genom att först blockera det och sedan rensa, ta bort eller sätta det i karantän.

Om du vill konfigurera inställningarna för detekteringsmotorn i detalj klickar du på Avancerade inställningar eller trycker på F5.

I det här avsnittet:

Kategorier för realtids- och maskininlärningsskydd

Genomsökningar efter skadlig kod

Rapporteringsinställningar

Skyddsinställningar

Praxis


note

Från version 7.2 innehåller avsnittet Detekteringsmotor inte längre PÅ/AV-reglage som i version 7.1 och tidigare. PÅ/AV-knapparna har istället ersatts av fyra tröskelvärden: Aggressiv, Balanserad, Försiktig och Av.


 

Kategorier för realtids- och maskininlärningsskydd

Realtids- och maskininlärningsskyddet för alla skyddsmoduler (till exempel Skydd av filsystemet i realtid, Webbåtkomstskydd och så vidare) möjliggör inställning av rapporterings- och skyddsnivåer för följande kategorier:

Skadlig kod – ett datorvirus är en bit skadlig kod som läggs till i befintliga filer på datorn. Begreppet ”virus” används dock ofta slarvigt. ”Malware” (skadlig kod) är en mer exakt term. Identifiering av skadlig kod utförs av detekteringsmotormodulen i kombination med maskininlärningskomponenten.
Läs mer om dessa programtyper i ordlistan.

Potentiellt oönskade program grayware eller potentiellt oönskade program (PUA; potentially unwanted application) är en bred kategori programvara vars syfte inte är direkt skadligt, till skillnad från andra typer av skadlig kod, som virus eller trojaner. De kan dock installera ytterligare oönskad programvara, ändra digitala enheters beteenden eller utföra aktiviteter som inte är godkända eller inte förväntas av användaren.
Läs mer om dessa programtyper i ordlistan.

Potentiellt farliga program – avser kommersiell programvara som kan missbrukas i skadliga syften. Exempel på sådana potentiellt farliga program (PUA) är verktyg för fjärråtkomst, program som spårar lösenord och keylogger-program (program som registrerar varje tangent användaren trycker ned).
Läs mer om dessa programtyper i ordlistan.

Misstänkta program inkluderar program som komprimerats med komprimeringsprogram eller skydd. Dessa typer av skydd utnyttjas ofta av skadlig kod för att undvika upptäckt.

CONFIG_SCANNER


note

Avancerad maskininlärning ingår nu i detekteringsmotorn som ett avancerat skyddslager som förbättrar detekteringen baserat på maskininlärning. Läs mer om den här typen av skydd i ordlistan.


 

Genomsökningar efter skadlig kod

Skannerinställningarna kan konfigureras separat för realtidsskannern och genomsökning på begäran. Som standard är Använd inställningar för realtidsskydd aktiverat. När detta är aktiverat hämtas relevanta inställningar för genomsökning på begäran från avsnittet Realtids- och maskininlärningsskydd.


 

Rapporteringsinställningar

När en detektering görs (till exempel att ett hot hittas och klassificeras som skadlig kod) registreras informationen i detekteringsloggen och det visas meddelanden på skrivbordet om detta har konfigurerats i ESET Endpoint Security.

Rapporteringströskelvärdet konfigureras för varje kategori (benämnd ”KATEGORI”):

1.Skadlig kod

2.Potentiellt oönskade program

3.Potentiellt farliga

4.Misstänkta program

Rapportering görs med detekteringsmotorn, inklusive maskininlärningskomponenten. Det går att ställa in ett högre rapporteringströskelvärde än det aktuella tröskelvärdet för skydd. Dessa rapporteringsinställningar påverkar inte blockering, rensning eller borttagning av objekt.

Läs följande innan du ändrar ett tröskelvärde (eller nivå) för KATEGORI-rapportering:

Tröskelvärde

Förklaring

Aggressiv

KATEGORI-rapportering är inställd på maximal känslighet. Fler detekteringar rapporteras. Inställningen Aggressiv kan felaktigt identifiera objekt som KATEGORI.

Balanserad

KATEGORI-rapportering är inställd på balanserad. Den här inställningen är optimerad för att balansera prestanda och tillförlitligheten hos detekteringsfrekvenser och antalet felaktigt rapporterade objekt.

Försiktig

KATEGORI-rapportering är inställd för att minimera antalet felaktigt identifierade objekt samtidigt som en tillräcklig skyddsnivå bibehålls. Objekt rapporteras endast när sannolikheten är uppenbar och matchar KATEGORI-beteendet.

Av

KATEGORI-rapportering är inte aktiv och detekteringar av den här typen varken hittas, rapporteras eller rensas. Med den här inställningen inaktiveras därför skydd mot den här detekteringstypen.
Av är inte tillgängligt för rapportering av skadlig kod and är standardvärdet för potentiellt farliga program.

hmtoggle_plus0 Tillgänglighet för ESET Endpoint Security-skyddsmoduler

hmtoggle_plus0 Fastställa produktversion, programmodulers versioner och versionsdatum

Att tänka på

Tänk på följande när ett lämpligt tröskelvärde väljs för din miljö:

Tröskelvärdet Balanserad rekommenderas för de flesta konfigurationer.

Tröskelvärdet Försiktig motsvarar en skyddsnivå som är jämförbar med tidigare versioner av ESET Endpoint Security (7.1 och tidigare). Detta rekommenderas för miljöer där prioriteten ligger på att minimera antalet objekt som identifieras felaktigt av säkerhetsprogram.

Ju högre tröskelvärde för rapportering, desto högre detekteringsgrad, men även högre risk för felaktigt identifierade objekt.

I realiteten finns det ingen garanti för en 100 %-ig detekteringsgrad och det går aldrig helt att utesluta felaktig kategorisering av rena objekt som skadlig kod.

Håll ESET Endpoint Security och dess moduler uppdaterade för att maximera balansen mellan prestanda och tillförlitliga detekteringsgrader och antalet felaktigt rapporterade objekt.


 

Skyddsinställningar

Om ett objekt klassificerat som KATEGORI rapporteras, så blockeras objektet av programmet som sedan rensar, tar bort eller sätter det i karantän.

Läs följande innan du ändrar ett tröskelvärde (eller nivå) för KATEGORI-skydd:

Tröskelvärde

Förklaring

Aggressiv

Rapporterade detekteringar på aggressiv (eller lägre) nivå blockeras och en automatisk åtgärd (det vill säga rensning) startas. Den här inställningen rekommenderas när alla endpoints har genomsökts med aggressiva inställningar och felaktigt rapporterade objekt har lagts till som detekteringsundantag.

Balanserad

Rapporterade detekteringar på balanserad (eller lägre) nivå blockeras och en automatisk åtgärd (det vill säga rensning) startas.

Försiktig

Rapporterade detekteringar på försiktig nivå blockeras och en automatisk åtgärd (det vill säga rensning) startas.

Av

Detta är användbart för att identifiera och utesluta felaktigt rapporterade objekt.
Av är inte tillgängligt för skydd mot skadlig kod and är standardvärdet för potentiellt farliga program.

hmtoggle_plus0 ESET PROTECT-policykonverteringstabell för ESET Endpoint Security 7.1 och tidigare


 

Praxis

OHANTERAD (enskild klientarbetsstation)

Behåll de rekommenderade standardvärdena som de är.

HANTERAD MILJÖ

Dessa inställningar tillämpas vanligen på arbetsstationer via en policy.

1. Initial fas

Den här fasen kan ta upp till en vecka.

Ställ in alla tröskelvärden för rapporteringBalanserad.
OBS! Öka inställningen till Aggressiv vid behov.

Ställ in eller behåll skyddet mot skadlig kod på Balanserad.

Ställ in skyddet för andra KATEGORIER på Försiktig.
OBS:Det rekommenderas inte att ställa in ett tröskelvärde för skyddAggressiv i den här fasen eftersom alla gjorda detekteringar skulle åtgärdas, inklusive felaktigt identifierade sådana.

Identifiera först felaktigt identifierade objekt i detekteringsloggen och lägg till dem som detekteringsexkluderingar.

2. Övergångsfas

Implementera produktionsfasen för några av arbetsstationerna som ett test (inte för alla arbetsstationer i nätverket).

3. Produktionsfas

Ställ in alla tröskelvärde för skyddBalanserad.

Vid fjärrhantering ska en lämplig fördefinierad policy för virusskydd användas för ESET Endpoint Security.

Tröskelvärdet Aggressiv kan ställas in om högsta detekteringsgrad krävs och felaktigt identifierade objekt accepteras.

Kontrollera detekteringsloggen eller ESET PROTECT-rapporterna för möjliga missade detekteringar.