Модуль обнаружения

Модуль обнаружения блокирует вредоносные атаки системы, контролируя информационное взаимодействие с помощью файлов, электронной почты, и Интернета. Например, при обнаружении объекта, который классифицируется как «вредоносная программа» начнется процесс исправления. Модуль обнаружения может устранить его, сначала заблокировав его, а затем очистив, удалив или переместив в карантин.

Для детальной настройки параметров модуля обнаружения щелкните элемент Расширенные параметры или нажмите клавишу F5.

В этом разделе:


note

Начиная с версии 7.2, раздел «Модуль обнаружения» больше не оснащен переключателями ВКЛ/ВЫКЛ по сравнению с версией 7.1 и более ранней.. Кнопки ВКЛ/ВЫКЛ заменяются четырьмя пороговыми значениями — «Агрессивный», «Сбалансированный», «Осторожный» и «Отключено».


 

Защита в режиме реального времени и категории защиты машинного обучения

Защита в режиме реального времени и на основе машинного обучения для всех модулей защиты (например, защита файловой системы в режиме реального времени, защита веб-доступа и т. д.) позволяет настраивать уровни защиты и отчетности по следующим категориям:

  • Вредоносные программы — это фрагмент вредоносного кода, который добавляется в начало или конец файлов на компьютере. Тем не менее термин «вирус» часто используется не по назначению. Более точный термин — «вредоносная программа» («вредоносное ПО»). Обнаружение вредоносных программ осуществляется модулем обнаружения в сочетании с компонентом машинного обучения.
    Дополнительную информацию о приложениях этого типа см. в глоссарии.
  • Потенциально нежелательные приложения . Потенциально нежелательные приложения представляют собой довольно широкую категорию программного обеспечения, задачей которого не является однозначно вредоносная деятельность в отличие от других типов вредоносных программ, например вирусов или троянских программ. Однако такое приложение может устанавливать дополнительное нежелательное программное обеспечение, изменять поведение цифрового устройства, а также выполнять действия без запроса или разрешения пользователя.
    Дополнительную информацию о приложениях этого типа см. в глоссарии.
  • Потенциально опасные приложения: это определение относится к законному коммерческому программному обеспечению, которое может быть использовано для причинения вреда. К потенциально опасным приложениям относятся средства удаленного доступа, приложения для взлома паролей и клавиатурные шпионы (программы, регистрирующие каждое нажатие пользователем клавиш на клавиатуре).
    Дополнительную информацию о приложениях этого типа см. в глоссарии.
  • Подозрительные приложения: к ним относятся программы, сжатые при помощи упаковщиков или средств защиты. Средства защиты такого типа часто используются злоумышленниками, чтобы избежать обнаружения.

CONFIG_SCANNER


note

Расширенное машинное обучение — это часть модуля обнаружения, которая является дополнительным уровнем защиты на основе машинного обучения, который улучшает работу функции обнаружения. Дополнительную информацию об этом типе защиты см. в глоссарии.


 

Процессы сканирования вредоносных программ

Параметры модуля сканирования можно настроить отдельно для сканера в режиме реального времени и для сканера по запросу. По умолчанию, использование настроек защиты в режиме реального времени включено. При включении этой функции соответствующие настройки сканирования по требованию происходят от раздела Защита в режиме реального времени и на основе машинного обучения.


 

Настройка обнаружения

При обнаружении (например, угроза обнаруживается и классифицируется, как вредоносная программа) информация передается в Журнал обнаружения и появляются Уведомления на рабочем столе, если они настроены в меню ESET Endpoint Security.

Пороговое значение обнаружения настраивается для каждой категории (далее — «КАТЕГОРИЯ»):

  1. Вредоносные программы
  2. Потенциально нежелательные приложения
  3. Потенциально опасный
  4. Подозрительные приложения

Создание отчетов выполняется с помощью модуля обнаружения, включая компонент машинного обучения. Можно установить более высокое пороговое значение отчетности по сравнению с текущим значением защиты. Эти настройки отчетности не влияют на блокировку, очищение или удаление объектов.

Перед изменением порогового значения (или уровня) отчетности для КАТЕГОРИИ ознакомьтесь со следующим:

Пороговое значение

Описание

Агрессивный

Функция обнаружения КАТЕГОРИИ настроена на максимальную чувствительность. Случаев обнаружения будет больше. При уровне Агрессивный функция может ошибочно считать объекты КАТЕГОРИЯМИ.

Сбалансированный

Установлен сбалансированный уровень функции обнаружения КАТЕГОРИИ. Эта настройка должна обеспечивать оптимальный баланс производительности, точности обнаружения и количества ложных обнаружений.

Осторожный

Уровень функции обнаружения КАТЕГОРИИ настроен таким образом, чтобы уменьшить количество ложных обнаружений, но при этом сохранить достаточный уровень защиты. Объекты считаются такими, только если их поведение явно соответствует поведению КАТЕГОРИИ.

Выкл.

Функция обнаружения для КАТЕГОРИИ не активна, и обнаружения такого рода не обнаруживаются, не регистрируются и не очищаются. В результате, данная настройка отключает защиту от этого типа обнаружения.
Значение «Выкл» недоступно для оповещения о вредоносных программах и по умолчанию используется для потенциально опасных приложений.

hmtoggle_plus0 Доступность модулей защиты ESET Endpoint Security

hmtoggle_plus0 Определение версии продукта, версий модуля программы и даты сборки

Ключевые моменты

Несколько ключевых моментов при установке соответствующего порогового значения для вашей среды:

  • Сбалансированное пороговое значение рекомендуется для большинства настроек.
  • Осторожное пороговое значение представляет собой сопоставимый уровень защиты по сравнению с предыдущими версиями ESET Endpoint Security (версия 7.1 или более ранние). Это рекомендуется для сред, где приоритетом является свертывание ложно идентифицированных объектов с помощью защитного программного обеспечения.
  • Более высокий порог отчетности — более высокий уровень обнаружения, но более высокий шанс ложно идентифицированных объектов.
  • С реальной точки зрения, нет гарантии 100 % обнаружения, а также 0 % шансов избежать неправильной классификации чистых объектов как вредоносных программ.
  • Сохраняйте ESET Endpoint Security и его модули в актуальном состоянии, чтобы обеспечить максимальный баланс между производительностью и точностью обнаружения и количеством ошибочно зарегистрированных объектов.

 

Настройка защиты

Если объект, классифицированный как КАТЕГОРИЯ, отображается в отчете, программа блокирует объект и затем очищает, удаляет или перемещает его в карантин.

Перед изменением порогового значения (или уровня) защиты для КАТЕГОРИИ ознакомьтесь со следующим:

Пороговое значение

Описание

Агрессивный

Сообщения об обнаружении агрессивного (или более низкого) уровня блокируются, и запускается автоматическое устранение неисправностей (т. е. очистка). Этот параметр рекомендуется, если все конечные точки были отсканированы с агрессивными настройками и в исключения обнаружения были добавлены объекты с ложным классифицированием.

Сбалансированный

Обнаружения сбалансированного (или более низкого) уровня блокируются, после чего запускается автоматическое исправление (т. е. очистка).

Осторожный

Обнаружения осторожного уровня блокируются, и запускается автоматическое исправление (т. е. очистка).

Выкл.

Полезно для идентификации и исключения ложных сообщений об объектах.
Значение «Выкл» недоступно для защиты вредоносных программ и по умолчанию используется для потенциально опасных приложений.

hmtoggle_plus0 Таблица преобразования политики ESET PROTECT для ESET Endpoint Security версии 7.1 или более ранней


 

Рекомендации

НЕУПРАВЛЯЕМАЯ (Индивидуальная рабочая станция клиента)

Сохраняйте рекомендуемые значения по умолчанию.

УПРАВЛЯЕМАЯ СРЕДА

Обычно эти настройки применяются к рабочим станциям с помощью политики.

1. Начальная фаза

Эта фаза может занять до недели.

  • Настройте все пороговые значения Обнаружения на Сбалансированный.
    ПРИМЕЧАНИЕ: При необходимости настройте на Агрессивный.
  • Настройте или оставьте Защиту для вредоносных программ на Сбалансированный.
  • Настройте Защиту для других КАТЕГОРИЙ на Осторожный.
    ПРИМЕЧАНИЕ: На этой фазе не рекомендуется настраивать пороговое значение Защиты на Агрессивный, поскольку будут исправлены все обнаруженные объекты, в том числе и ложно идентифицированные.
  • Определите фальшиво идентифицированные объекты из Журнала обнаружения и добавьте их в Исключения из обнаружения.

2. Переходная фаза

  • Внедрите «производственную фазу» в некоторые рабочие станции в качестве тестовой (не для всех рабочих станций в сети).

3. Производственная фаза

  • Настройте все пороговые значения Защиты на Сбалансированный.
  • При удаленном управлении используйте соответствующую предопределённую политику защиты от вирусов для ESET Endpoint Security.
  • Агрессивное пороговое значение защиты можно установить, если требуется максимальный уровень обнаружения и принимаются ошибочно идентифицированные объекты.
  • Проверьте Журнал обнаружения или ESET PROTECT отчеты на наличие возможных пропущенных обнаружений.