检测引擎
检测引擎通过控制文件、电子邮件和 Internet 通信,来抵御恶意系统攻击。例如,如果检测到归类为恶意软件的对象,将开始清除。检测引擎可以通过先阻止它,然后清除、删除或将其移至隔离区来消除威胁。
要详细配置检测引擎设置,请单击高级设置或按 F5。
在本部分中:
•报告设置
•防护设置
•最佳做法
从版本 7.2 起,检测引擎部分不再像 7.1 及更低版本一样提供“开/关”切换。“开/关”按钮由四个阈值替代 - 具有攻击性、均衡、注意和关闭。 |
实时和机器学习保护类别
针对所有防护模块(例如,文件系统实时防护、Web 访问保护...)的实时和机器学习保护允许您配置以下类别的报告和防护级别:
•恶意软件 – 计算机病毒是一条预置或附加到计算机上现有文件的恶意代码。但是,术语“病毒”经常被误用。“恶意软件”(恶意的软件)是更准确的术语。恶意软件检测由结合了机器学习组件的检测引擎模块执行。
请阅读词汇表中关于这些类型的应用程序的更多信息。
•潜在不受欢迎的应用程序 - 灰色软件或潜在不受欢迎的应用程序 (PUA) 是一种广泛的软件类别,其意图不像其他类型的恶意软件(如病毒或木马)那样具有明确的恶意。但它可能安装其他不受欢迎的软件、更改数字设备的行为,或者执行用户未批准的活动或意料之外的活动。
请阅读词汇表中关于这些类型的应用程序的更多信息。
•潜在的不安全应用程序 - 是指有可能被滥用于恶意用途的合法商业软件。潜在的不安全应用程序 (PUA) 的示例包括远程访问工具、密码破解应用程序以及按键记录器(记录用户键盘输入信息的程序)等。此选项默认情况下处于禁用状态。
请阅读词汇表中关于这些类型的应用程序的更多信息。
•可疑应用程序包括使用加壳程序或保护程序压缩的程序。这些类型的保护程序通常被恶意软件作者用来逃避检测。
高级机器学习现在作为高层次防护成为检测引擎的一部分,可根据机器学习改进检测。在词汇表中详细了解此类防护。 |
恶意软件扫描
可以为实时扫描程序和手动扫描程序单独配置扫描程序设置。默认情况下,使用实时防护设置处于启用状态。当启用时,相关手动扫描设置从实时和机器学习保护部分继承。
报告设置
当发生检测时(例如,发现威胁和归类为恶意软件),信息将记录到检测日志,如果在 ESET Endpoint Security 中进行了配置,将发生桌面通知。
为每个类别(作为“CATEGORY”引用)配置报告阈值:
1.恶意软件
2.潜在不受欢迎的应用程序
3.潜在不安全
4.可疑应用程序
通过检测引擎进行报告,包括机器学习组件。可以设置比当前防护阈值更高的报告阈值。这些报告设置不影响阻止、清除或删除对象。
为 CATEGORY 报告修改阈值(或级别)前阅读以下内容:
阈值 |
解释 |
---|---|
具有攻击性 |
CATEGORY 报告配置为最高敏感度。报告了更多检测。具有攻击性设置可能会将对象错误地识别为 CATEGORY。 |
均衡 |
CATEGORY 报告配置为均衡。优化了此设置以均衡检测率和误报对象数量的性能和准确性。 |
注意 |
CATEGORY 报告配置为最大程度地减少错误识别的对象,同时维持足够级别的防护。仅当可能性显而易见并且匹配 CATEGORY 行为时才报告对象。 |
关 |
CATEGORY 的报告不活动,并且不查找、报告或清除此类型的检测。因此,此设置将从此检测类型中禁用防护。 |
ESET Endpoint Security 防护模块的可用性
要点
为环境设置适当阈值的几项要点:
•为大多数设置建议均衡阈值。
•注意阈值表示从 ESET Endpoint Security 之前的版本(7.1 及更低版本)可比较的防护级别。建议用于优先级侧重于最大程度减少由安全软件错误识别的对象的环境。
•更高的报告阈值,更高的检测率,但错误识别对象的机会更高。
•从真实世界角度来看,不能保证 100% 的检测率和 0% 的机会来避免错误地将干净对象归类为恶意软件。
•保持 ESET Endpoint Security 及其模块最新,以最大程度地保持性能、检测率的准确性与误报对象数量之间的平衡。
防护设置
如果报告归类为 CATEGORY 的对象,程序会阻止该对象,然后对它清除、删除或将其移动到隔离区。
为 CATEGORY 保护修改阈值(或级别)前阅读以下内容:
阈值 |
解释 |
---|---|
具有攻击性 |
报告的具有攻击性(或更低)级别检测被阻止,自动修复(即,清除)会启动。当使用具有攻击性设置扫描了所有端点并且误报的对象已添加到检测排除中时,建议使用此设置。 |
均衡 |
报告的均衡(或更低)级别检测被阻止,自动修复(即,清除)会启动。 |
注意 |
报告的注意级别检测被阻止,自动修复(即,清除)会启动。 |
关 |
有助于识别和排除误报的对象。 |
适用于 ESET Endpoint Security 7.1 及更低版本的 ESET PROTECT 策略转换表
最佳做法
未托管(单个客户端工作站)
原样保留默认建议值。
受管环境
这些设置通常通过策略应用到工作站。
1. 初始阶段
此阶段可能需要一周的时间。
•将所有报告阈值设置为均衡。
注意,如果需要,请设置为具有攻击性。
•设置或保留恶意软件的防护为均衡。
•将其他类别的防护设置为注意。
注意:不建议您在此阶段将防护阈值设置为具有攻击性,因为所有发现的检测(包括错误识别的检测)都将得到修复。
•在检测日志中识别错误识别的对象,然后先将它们添加到检测排除。
2. 过渡阶段
•对某些工作站实施“生产阶段”作为测试(不适用于网络上的所有工作站)。
3. 生产阶段
•将所有防护阈值设置为均衡。
•远程管理时,将适合的病毒防护预定义策略用于 ESET Endpoint Security。
•如果要求最高的检测率并且接受错误识别的对象,则可以设置具有攻击性防护阈值。
•检查检测日志或 ESET PROTECT 报告,以查找可能丢失的检测。