概述
关于服务
ESET LiveGuard Advanced是 ESET 提供的付费服务。其目的是增加一层旨在缓解新的肆虐威胁的防护。
更改服务名称
2022 年 3 月 23 日,ESET Dynamic Threat Defense 更名为 ESET LiveGuard Advanced。在 ESET 商业产品中,您也可以发现它名为 ESET LiveGuard。这两个名称指的是同一个服务。
它的工作方式
未被证实为恶意且可能携带恶意软件的可疑样本将被自动提交到 ESET 云。提交的样本将在沙箱中运行,并由我们的高级恶意软件检测引擎进行评估。恶意样本或可疑垃圾电子邮件将提交到 ESET LiveGrid®。电子邮件附件将单独进行处理,并需要提交到 ESET LiveGuard Advanced。管理员或用户可以定义要提交的文件范围以及文件在 ESET 云中的保留期限。默认情况下,不会提交具有活动内容(宏,javascript)的文档和 PDF 文件。请参阅检测层如何工作的详细说明。
在远程管理控制台的已提交的文件部分中,管理员将获得观察到的每个已提交文件的样本行为的简要报告。如果某个文件证实是恶意文件,则系统会为所有参与 ESET LiveGrid® 的用户将该文件作为可疑对象进行阻止。如果评估为可疑,则系统会在用户组织内的所有计算机上阻止它,具体取决于敏感度阈值。
可以手动提交文件或基于策略配置自动提交文件。在 ESET PROTECT Web 控制台中,用户可以提交通过客户端计算机报告的 .exe 文件。
ESET LiveGuard Advanced、ESET LiveGrid® 和 ESET Threat Intelligence 之间的区别是什么?
架构
ESET 安全产品和管理控制台
每当样本上载到 ESET LiveGuard Advanced 以进行分析时,该样本的元数据也会上载到管理控制台(如果客户端可以连接到服务器)。这为控制台管理员提供了上载到 ESET 云的样本列表。
ESET 安全产品和 ESET LiveGuard Advanced
只要激活并经过配置的 ESET 安全产品决定需要分析样本,它会将样本上载到 ESET LiveGuard Advanced。在 ESET LiveGuard Advanced 完成分析样本之后,它会将结果提供给该公司(或 MSP 客户)中的所有计算机,还会将结果提供给所有曾经提交该文件的公司。然后安全产品将基于现有策略执行适当的操作。在 ESET 端点和 ESET 服务器产品版本 7.2 及更高版本中,可以选择要对浏览器和电子邮件客户端下载的可疑文件执行的操作。
ESET 会对所有传输的程序包进行签名,以降低攻击的风险。在内部网络中使用 HTTP 连接时,产品始终会检查连接是否在代理后升级到 HTTPS。如果代理未正确配置,还会在内部网络中使用 HTTPS 连接。
ESET 管理控制台和 ESET LiveGuard Advanced
ESET LiveGuard Advanced 在本地管理控制台和基于云的管理控制台(ESET PROTECT On-Prem、ESET PROTECT)中可用。在 ESET LiveGuard Advanced 收到来自 ESET 安全产品的样本后,它会自动向管理控制台通知分析的状态。在分析完成后,结果将传输到管理控制台。
漫游端点和 ESET LiveGuard Advanced
漫游端点是任何具有 ESET 安全产品(在您公司的外部运行并且未连接到 ESET PROTECT On-Prem)的客户端。通常,它是一台家中或商务旅行途中使用的计算机(无 VPN)。漫游客户端充分利用了 ESET LiveGuard Advanced。但是,它不会通知 ESET PROTECT On-Prem 关于已提交供分析的样本的情况。当客户端返回到您本地并连接到 ESET PROTECT On-Prem,会同步元数据并更新已提交文件的列表。当一个客户端在漫游时(即使在它与 ESET PROTECT On-Prem 同步之前),您网络上的其他客户端可以接收由发现的威胁导致的更新。
ESET Cloud Office Security 和 ESET LiveGuard Advanced
ESET LiveGuard Advanced 通过在隔离环境中执行可疑代码来分析提交的文件,以评估其行为。ESET Cloud Office Security 会将来自 Microsoft Exchange Online、OneDrive、Teams 组和 SharePoint 站点的可疑电子邮件附件和文件提交给 ESET LiveGuard Advanced 进行分析。ESET Cloud Office Security 不需要数据,也不会将数据上传到 ESET 管理控制台。将在 ESET Cloud Office Security 中显示有关提交的文件及其结果的信息。
全局数据库
ESET LiveGuard Advanced 使用两个 Azure 数据中心(美国和欧洲)来存储文件的哈希及其分析结果。数据中心为已分析的文件提供更快的结果。ESET 总部(位于斯洛伐克)存储所有提交的文件并执行分析。每位客户(公司)的数据单独存储在一个全局数据库中。ESET 将用户连接路由到最近的数据中心。
我们强烈建议您使用代理缓存来自 ESET 服务器的响应,尤其对于拥有大量客户端计算机(数百台或更多)的用户,因为使用代理可以节省大量网络通信流量。 您可以排除选定的文件夹和进程来减少已提交文件的数据并提高整体性能。 |