偵側引擎
偵測引擎可藉由控制檔案、電子郵件和網際網路來防範惡意系統攻擊。例如,如果偵測到分類為惡意軟體的物件,則會啟動修復。偵測引擎可以消除此物件,方法為首先將其封鎖,然後清除、刪除或將其移至隔離區。
若要詳細地配置偵測引擎設定,請按一下 [進階設定] 或按 F5。
在此區段中:
從 7.2 版開始,偵測引擎區段不再和 7.1 版及更舊版本一樣提供 ON/OFF 參數。ON/OFF 按鈕會取代為四種閥值 -「越權」、「平衡」、「警告」和「關閉」。 |
即時及機器學習防護類別
所有防護模組的 [即時及機器學習防護] (例如,即時檔案系統防護、Web 存取防護、...) 可讓您配置下列類別的報告和防護層級:
- [惡意軟體] – 電腦病毒是一段惡意程式碼,其會加在您電腦上現有檔案的前面或後面。但是,「病毒」一詞常常遭到濫用。「惡意軟體」才是比較準確的用詞。惡意軟體偵測會由結合了機器學習元件的偵測引擎模組執行。
在字彙中閱讀更多有關這些應用程式類型的資訊。
- 潛在不需要的應用程式 – 「灰色軟體」或「潛在不需要的應用程式」(PUA) 是軟體的廣泛類別,其意圖明確地不帶有惡意,不如其他類型的惡意軟體 (如病毒或特洛伊木馬程式)。不過,它可以安裝其他不需要的軟體、變更數位裝置的行為,或是執行使用者未認可或預期的活動。
在字彙中閱讀更多有關這些應用程式類型的資訊。 - 潛在不安全的應用程式 – 是指合法但可能不當用於惡意用途的商業軟體。例如遠端存取工具、密碼破解應用程式及鍵盤記錄程式 (記錄每次使用者按鍵的程式) 等,皆為潛在不安全的應用程式 (PUA)。
在字彙中閱讀更多有關這些應用程式類型的資訊。
- [可疑的應用程式] 包括以壓縮器或保護程式壓縮的程式。惡意軟體的作者通常會利用這些 Protector 類型的弱點以躲避偵測。
進階機器學習現在是偵測引擎的一部分,做為進階的防護層,能夠根據機器學習改善偵測。請在字彙中進一步瞭解此類型的防護。 |
惡意軟體掃描
您可以針對即時掃描器和指定掃描器配置掃描器設定。依預設會啟用 [使用即時防護設定]。啟用之後,相關的指定掃描設定繼承自 [即時及機器學習防護] 區段。
報告設定
當偵測發生 (例如,找到威脅並將其分類為惡意軟體) 時,資訊會記錄至偵測防護記錄,而且若在 ESET Endpoint Security 中配置,則會發生桌面通知。
報告閥值是針對每個類別 (稱為「CATEGORY」) 而配置:
- 惡意軟體
- 潛在不需要的應用程式
- 潛在不安全
- 可疑應用程式
利用偵測引擎執行的報告,包括機器學習元件。可設定高於目前防護閾值的報告閾值。這些報告設定不會影響封鎖、清除或刪除物件。
請先閱讀下列資訊,然後再修改 CATEGORY 報告的閥值 (或層級):
閥值 |
說明 |
---|---|
越權 |
配置為最大敏感度的 CATEGORY 報告。報告了更多偵測項目。[越權] 設定可能將物件錯誤判斷為 CATEGORY。 |
平衡 |
配置為平衡的 CATEGORY 報告。此設定已經過最佳化處理,而可平衡效能及偵測率的準確性,以及錯誤報告物件的數量。 |
警告 |
在維持足夠防護層級時,配置為盡量減少錯誤識別物件的 CATEGORY 報告。只會在可能性顯而易見且符合 CATEGORY 行為時,才會報告物件。 |
關閉 |
CATEGORY 的報告不在使用中,而且找不到、未報告或未清除此類型的偵測。因此,此設定會停用此偵測類型的防護。 |
ESET Endpoint Security 防護模組的可用性
基調
為您的環境設定適當閥值時有數個基調:
- 建議大部分設定使用 [平衡] 閥值。
- [警告] 閥值代表相當於舊版 ESET Endpoint Security (7.1 及更舊版本) 的防護層級。若環境優先著重於透過安全軟體將錯誤識別物件減至最少,則建議使用此閥值。
- 報告閥值越高,偵測率就越高,但錯誤識別物件的機會也隨之提高。
- 從真實世界的觀點來看,無法保證 100% 偵測率,以及將已清除的物件分類為惡意軟體的機會無法保證為 0。
- 將 ESET Endpoint Security 及其模組保持最新,以在偵測率的效能及正確性與錯誤報告物件的數目之間達到最佳平衡。
防護設定
如果報告分類為 CATEGORY 的物件,則程式會封鎖此物件,然後清除、刪除或將其移至隔離區。
請先閱讀下列資訊,然後再修改 CATEGORY 防護的閥值 (或層級):
閥值 |
說明 |
---|---|
越權 |
報告的越權 (或較低) 層級偵測會遭到封鎖,而且會啟動自動修復 (例如,清除)。掃描所有端點是否有越權設定且已將錯誤報告物件新增至偵測排除時,建議使用此設定。 |
平衡 |
報告的平衡 (或較低) 層級偵測會遭到封鎖,而且會啟動自動修復 (例如,清除)。 |
警告 |
報告的警告層級偵測會遭到封鎖,而且會啟動自動修復 (例如,清除)。 |
關閉 |
對於識別及排除錯誤報告的物件很有幫助。 |
ESET PROTECT 原則轉換表格,適用於 ESET Endpoint Security 7.1 及更舊版本
最佳實務
未受管理 (個別用戶端工作站)
將預設建議值保持原狀。
受管理環境
這些設定通常透過原則套用至工作站。
1.初始階段
此階段最多可能需要一週的時間。
- 將所有 [報告] 閥值設定為 [平衡]。
注意:如有需要,設定為 [越權]。 - 將針對惡意軟體的 [防護] 設定或保留為 [平衡]。
- 將其他「類別」的 [防護] 設定為 [警告]。
注意:不建議在此階段將 [防護] 閥值設定為 [越權],因為將修復所有找到的偵測項目,包括錯誤識別的偵測項目。 - 從偵測防護記錄中找出錯誤識別物件,並首先將它們新增至偵測排除。
2.轉換階段
- 對部分工作站實作「生產階段」做為測試 (但不對網路上的所有工作站進行此動作)。