Moteur de détection
Le moteur de détection protège contre les attaques de systèmes malveillants en contrôlant les communications par fichiers, par courriels et par Internet. Par exemple, si un objet classé comme logiciel malveillant est détecté, la correction débute immédiatement. Le moteur de détection peut l'éliminer en le bloquant d'abord, puis en le nettoyant, en le supprimant ou en le mettant en quarantaine.
Pour configurer les paramètres du moteur de détection en détail, cliquez sur Configuration avancée ou appuyez sur la touche F5.
Dans cette section :
- Catégories de protection en temps réel et d'apprentissage automatique
- Analyses de logiciels malveillants
- Configuration des signalements
- Configuration de la protection
- Meilleures pratiques
A partir de la version 7.2, la section Moteur de détection ne propose plus de commutateurs ACTIVÉ/DÉSACTIVÉ comme dans la version 7.1 et les versions antérieures. Les commutateurs ACTIVÉ/DÉSACTIVÉ ont été remplacés par quatre seuils - Agressif, Équilibré, Prudent et Désactivé. |
Catégories de protection en temps réel et d'apprentissage automatique
La protection en temps réel et apprentissage automatique pour tous les modules de protection (par exemple, protection en temps réel du système de fichiers, protection de l'accès Web, ...) vous permet de configurer les niveaux de signalement et de protection pour les catégories suivantes :
- Logiciel malveillant – Un virus informatique est un code malveillant ajouté en début ou à la fin des fichiers existants sur votre ordinateur. Cependant, le terme « virus » est souvent mal utilisé. Logiciel malveillant est une expression plus précise. La détection des logiciels malveillants est effectuée par le module du moteur de détection combiné au composant d'apprentissage automatique.
Pour en savoir plus sur ces types d'application, consultez le glossaire.
- Applications potentiellement indésirables – Un logiciel gris ou une application potentiellement indésirable (PUA) désigne une vaste catégorie de logiciels, dont l'intention malveillante n'est pas aussi clairement établie qu'avec d'autres types de logiciels malveillants, tels que les virus ou les chevaux de Troie. Il peut cependant installer des logiciels indésirables supplémentaires, modifier le comportement ou les paramètres du périphérique numérique ou effectuer des activités non approuvées ou prévues par l'utilisateur.
Pour en savoir plus sur ces types d'application, consultez le glossaire. - Les applications potentiellement dangereuses sont des logiciels commerciaux légitimes susceptibles d'être utilisés à des fins malveillantes. Elles comprennent des programmes comme des outils d'accès à distance, des applications de craquage de mot de passe et des enregistreurs de frappe.
Pour en savoir plus sur ces types d'application, consultez le glossaire.
- Les applications potentiellement suspectes incluent les programmes comprimés à l'aide de logiciels de compression ou de protecteurs. Ces protecteurs sont souvent exploités par les créateurs de logiciels malveillants pour échapper à la détection.
L'apprentissage automatique avancé fait maintenant partie du moteur de détection en tant que couche de protection avancée qui améliore la détection basée sur l'apprentissage automatique. Pour en savoir plus sur ce type de protection, consultez le glossaire. |
Analyses de logiciels malveillants
Les paramètres de l'analyseur peuvent être configurés séparément pour l'analyseur en temps réel et l'analyseur à la demande. Par défaut, Utiliser les paramètres de protection en temps réel est activé. Lorsque cette option est activée, les paramètres d'analyse à la demande pertinents sont hérités de la section Protection en temps réel et apprentissage automatique.
Configuration des signalements
Lorsqu'une détection se produit (par exemple, une menace est détectée et classée comme logiciel malveillant), les informations sont enregistrées dans le journal de détection et des notifications de bureau s'affichent si elles sont configurées dans ESET Endpoint Security.
Le seuil de signalement est configuré pour chaque catégorie (appelée « CATÉGORIE ») :
- Logiciel malveillant
- Applications potentiellement indésirables
- Potentiellement dangereux
- Applications suspectes
Signalement effectué avec le moteur de détection, y compris le composant d'apprentissage automatique. Il est possible de fixer un seuil de signalement plus élevé que le seuil actuel de protection. Ces paramètres de signalement n'influencent pas le blocage, le nettoyage ou la suppression des objets.
Lisez ce qui suit avant de modifier un seuil (ou un niveau) pour le signalement de CATÉGORIE :
Seuil |
Explication |
---|---|
Agressif |
Signalement de la CATÉGORIE configurée avec une sensibilité maximale. Plus de détections sont signalées. Le paramètre Agressif peut identifier à tort des objets comme étant CATÉGORIE. |
Équilibré |
Signalement de la CATÉGORIE configurée sur Équilibré. Ce paramètre est optimisé pour équilibrer les performances et la précision des taux de détection et du nombre d'objets faux positifs. |
Prudent |
Signalement de la CATÉGORIE configurée pour réduire au minimum les objets faux positifs tout en maintenant un niveau de protection suffisant. Les objets ne sont signalés que lorsque la probabilité est évidente et correspond au comportement de CATÉGORIE. |
Désactivé |
Le signalement d'une CATÉGORIE n'est pas actif et les détections de ce type ne sont pas trouvées, signalées ou nettoyées. Par conséquent, ce paramètre désactive la protection de ce type de détection. |
Disponibilité des modules de protection de ESET Endpoint Security
Déterminer la version du produit, les versions des modules du programme et les dates de construction
Conseils
Quelques conseils pour établir un seuil approprié à votre environnement :
- Le seuil Équilibré est recommandé pour la plupart des configurations.
- Le seuil Prudent représente un niveau de protection comparable à celui des versions précédentes de ESET Endpoint Security (7.1 versions inférieures). Cette option est recommandée dans les environnements où la priorité est de réduire au minimum les faux positifs identifiés par les logiciels de sécurité.
- Plus le seuil de signalement est élevé, plus le taux de détection est élevé, mais plus il y a de chances que des objets soient faussement identifiés.
- En pratique, il n'est pas possible de garantir un taux de détection de 100 %. De même il n'est pas possible d'éviter toute classification erronée des objets propres comme logiciels malveillants.
- Conservez ESET Endpoint Security et ses modules à jour pour optimiser l’équilibre entre les performances et la précision des taux de détection et le nombre de faux positifs.
Configuration de la protection
Si un objet classé comme CATÉGORIE est signalé, le programme bloque l'objet, puis le nettoie, le supprime ou le déplace vers la quarantaine.
Lisez ce qui suit avant de modifier un seuil (ou un niveau) pour la protection contre les CATÉGORIE :
Seuil |
Explication |
---|---|
Agressif |
Les détections de niveau agressif (ou inférieur) signalées sont bloquées et la correction automatique (c'est-à-dire le nettoyage) est lancée. Ce paramètre est recommandé lorsque tous les terminaux ont été analysés avec des paramètres agressifs et que des objets faussement signalés ont été ajoutés aux exclusions de détection. |
Équilibré |
Les détections de niveau équilibré (ou inférieur) signalées sont bloquées et la correction automatique (c'est-à-dire le nettoyage) est lancée. |
Prudent |
Les détections de niveau prudent signalées sont bloquées et la correction automatique (c'est-à-dire le nettoyage) est lancée. |
Désactivé |
Cette option est utile pour identifier et exclure les objets faussement signalés. |
Meilleures pratiques
NON GÉRÉ (Poste client individuel)
Conservez les valeurs recommandées par défaut telles quelles.
ENVIRONNEMENT GÉRÉ
Ces paramètres sont généralement appliqués aux postes de travail à l'aide d'une politique.
1. Phase initiale
Cette phase peut prendre jusqu'à une semaine.
- Mettez tous les seuils de signalement à Équilibré.
REMARQUE : Si nécessaire, configurez-les sur Aggressif. - Mettez ou conservez la protection contre les logiciels malveillants sur Équilibré.
- Mettez la protection pour les autres CATÉGORIES sur Prudent.
REMARQUE : Il n'est pas recommandé de mettre le seuil de protection sur Agressif au cours de cette phase, car toutes les détections seraient corrigées, y compris les faux positifs. - Repérez les objets faussement identifiés à partir du journal de détections et ajoutez-les d'abord aux exclusions de détection.
2. Phase de transition
- Mettez en œuvre la « phase de production » sur certains postes de travail à titre de test (pas pour tous les postes sur le réseau).
3. Phase de production
- Configurez tous les seuils de protection sur Équilibré.
- Lorsque la gestion est effectuée à distance, utilisez une politique antivirus appropriée prédéfinie pour ESET Endpoint Security.
- Le seuil de protection agressif peut être défini si les taux de détection les plus élevés sont requis et qu'il n'y a pas de problèmes à avoir des objets faussement identifiés.
- Consultez le journal des détections ou les rapports d'ESET PROTECT pour voir d'éventuelles détections manquées.