Die Erkennungsroutine schützt Sie vor bösartigen Systemangriffen, indem Dateien, E-Mails und die Netzwerkkommunikation gescannt werden. Wenn ein als Malware eingestuftes Objekt erkannt wird, wird die Behebung gestartet. Die Erkennungsroutine kann das Ereignis zunächst blockieren und anschließend säubern, löschen oder in die Quarantäne verschieben.
Echtzeit- & Machine-Learning-Schutz
Advanced Machine Learning ist jetzt als zusätzliche Schutzebene in der Erkennungsroutine enthalten, um die Erkennung auf Basis von Machine Learning zu verbessern. Weitere Informationen zu diesem Schutztyp finden Sie im Glossar. Sie können Berichterstellung und Schutzebenen für die folgenden Kategorien konfigurieren:
Malware
Computerviren sind Schadcode, der den vorhandenen Dateien auf Ihrem Computer vorangestellt oder angefügt wird. Allerdings wird der Begriff „Virus“ oft falsch angewendet. „Malware“ (Schadcode) ist ein genauerer Begriff. Die Malware-Erkennung wird von der Erkennungsroutine zusammen mit der Machine-Learning-Komponente ausgeführt. Weitere Informationen zu diesem Anwendungstyp finden Sie im Glossar.
Eventuell unerwünschte Anwendungen
Eine eventuell unerwünschte Anwendung ist ein Programm, das nicht zwangsläufig nur böse Absichten verfolgt, jedoch zusätzliche unerwünschte Software installieren, das Verhalten des digitalen Geräts manipulieren, unerwünschte oder unerwartete Aktionen ausführen kann oder sonstige unklare Ziele verfolgt.
Zu dieser Kategorie gehören: Software für Werbeeinblendungen, Download-Wrapper, verschiedene Browser-Werkzeugleisten, Software mit irreführenden Verhaltensweisen, Bundleware, Trackware usw. Weitere Informationen zu diesem Anwendungstyp finden Sie im Glossar.
Verdächtige Anwendungen
Diese Kategorie umfasst Programme, die mit Pack- oder Schutzprogrammen komprimiert wurden. Diese Methoden werden häufig eingesetzt, um Reverse-Engineering zu verhindern oder um den Inhalt des Programms mit proprietären Kompressions- und/oder Verschlüsselungsmethoden zu verschleiern, z. B. um Malware zu verbergen.
In diese Kategorie gehören alle unbekannten Anwendungen, die mit Pack- oder Schutzprogrammen komprimiert wurden.
Potenziell unsichere Anwendungen
Diese Klassifizierung wird für gewerbliche und legitime Software vergeben, die jedoch für bösartige Zwecke missbraucht werden kann. Potenziell unsichere Anwendungen sind gewerbliche Programme, die zu bösartigen Zwecken missbraucht werden können.
Zu dieser Kategorie gehören: Cracker- und Hackerwerkzeuge, Programme zum Generieren von Lizenzschlüsseln, Suchprogramme für Produktschlüssel, Programme für Fernzugriff oder Fernsteuerung, Programme zum Entschlüsseln von Passwörtern, Keylogger usw. Diese Option ist in der Voreinstellung deaktiviert.
Weitere Informationen zu diesem Anwendungstyp finden Sie im Glossar.
Lesen Sie die folgenden Informationen, bevor Sie einen Schwellenwert (oder eine Stufe) für die Berichterstellung oder den Schutz ändern:
Die Berichterstellung wird von der Erkennungsroutine und der Machine-Learning-Komponente ausgeführt. Sie können den Schwellenwert für Berichte an Ihre Umgebung und Ihre Anforderungen anpassen. Es gibt keine allgemein gültige Konfiguration. Überwachen Sie das Verhalten in Ihrer Umgebung und passen Sie die Einstellung für die Berichterstellung entsprechend an.
Bei der Berichterstellung werden keine Aktionen an Objekten ausgeführt, sondern nur Informationen an die jeweilige Schutzebene weitergeleitet. Die Schutzebene ist für die entsprechenden Aktionen zuständig.
Aggressiv
|
Berichterstellung mit maximaler Empfindlichkeit. Weitere Ereignisse werden gemeldet. Die aggressive Einstellung ist zwar am sichersten, ist jedoch oft zu empfindlich, was sogar kontraproduktiv sein kann.
|
|
Bei der aggressiven Einstellung können Objekte fälschlicherweise als bösartig erkannt werden und Aktionen mit solchen Objekten ausgeführt werden (je nach Schutzeinstellungen).
|
|
Ausgewogen
|
Diese Einstellung ist eine optimale Balance zwischen Leistung und Genauigkeit der Erkennungsraten und der Anzahl fälschlich gemeldeter Objekte.
|
Vorsichtig
|
Berichte zur Minimierung falsch erkannter Objekte unter Beibehaltung eines ausreichenden Schutzniveaus. Objekte werden nur gemeldet, wenn die Erkennung sehr wahrscheinlich ist und mit dem Verhalten von Malware übereinstimmt.
|
Aus
|
Die Berichterstellung ist nicht aktiv. Ereignisse werden nicht gefunden, gemeldet oder gesäubert.
|
|
Malware-Berichte können nicht deaktiviert werden. Daher ist die Einstellung Aus für Malware nicht verfügbar.
|
|
Wenn Sie die Einstellungen in diesem Bereich auf die Standardwerte zurücksetzen möchten, klicken Sie auf den Umkehren-Pfeil neben der Abschnittsüberschrift. Alle in diesem Abschnitt vorgenommenen Änderungen werden verworfen.
|
Berichterstellung
Wird von der Erkennungsroutine und der Machine-Learning-Komponente ausgeführt. Bei der Berichterstellung werden keine Aktionen an Objekten ausgeführt (dafür ist die jeweilige Schutzebene zuständig).
Schutz
Konfigurieren Sie die Parameter unter E-Mail-Transportschutz, um festzulegen, welche Aktionen an gemeldeten Objekten ausgeführt werden. Außerdem können Sie benutzerdefinierte Regeln konfigurieren:
|
|
Beispiel für Kerninstallation:
Ziel: Nachrichten in die Quarantäne verschieben, die Malware oder passwortgeschützte, verschlüsselte oder beschädigte Anhänge enthalten
Erstellen Sie die folgende Regel für den Mail-Transport-Schutz
Bedingung
Typ: Scan-Ergebnis des Virenschutzes
Operation: ist
Parameter: Infiziert - nicht gesäubert
Aktion
Typ: E-Mail in Quarantäne verschieben
|
Wenn Sie die Einstellungen in diesem Bereich auf die Standardwerte zurücksetzen möchten, klicken Sie auf den Umkehren-Pfeil neben der Abschnittsüberschrift. Alle in diesem Abschnitt vorgenommenen Änderungen werden verworfen.
Konfigurieren Sie den Machine-Learning-Schutz mit eShell. Der Kontextname in eShell ist MLP. Öffnen Sie eShell im interaktiven Modus und navigieren Sie zu MLP:
server av transport mlp
Aktuelle Berichterstellungseinstellung für verdächtige Anwendungen anzeigen:
get suspicious-reporting
Ändern Sie die Einstellung zu „Vorsichtig“, um die Berichterstellungseinstellungen zu lockern:
set suspicious-reporting cautious
|
Berichterstellung
Wird von der Erkennungsroutine und der Machine-Learning-Komponente ausgeführt. Bei der Berichterstellung werden keine Aktionen an Objekten ausgeführt (dafür ist die jeweilige Schutzebene zuständig).
Schutz
Konfigurieren Sie die Parameter unter Postfach-Datenbankschutz, um festzulegen, welche Aktionen an gemeldeten Objekten ausgeführt werden.
Wenn Sie die Einstellungen in diesem Bereich auf die Standardwerte zurücksetzen möchten, klicken Sie auf den Umkehren-Pfeil neben der Abschnittsüberschrift. Alle in diesem Abschnitt vorgenommenen Änderungen werden verworfen.
Konfigurieren Sie den Machine-Learning-Schutz mit eShell. Der Kontextname in eShell ist MLP. Öffnen Sie eShell im interaktiven Modus und navigieren Sie zu MLP:
server av database mlp
Aktuelle Berichterstellungseinstellung für verdächtige Anwendungen anzeigen:
get suspicious-reporting
Ändern Sie die Einstellung zu „Vorsichtig“, um die Berichterstellungseinstellungen zu lockern:
set suspicious-reporting cautious
|
Berichterstellung
Wird von der Erkennungsroutine und der Machine-Learning-Komponente ausgeführt. Bei der Berichterstellung werden keine Aktionen an Objekten ausgeführt (dafür ist die jeweilige Schutzebene zuständig).
Schutz
Konfigurieren Sie die Parameter unter On-Demand-Postfachdatenbank-Scan, um festzulegen, welche Aktionen an gemeldeten Objekten ausgeführt werden.
Wenn Sie die Einstellungen in diesem Bereich auf die Standardwerte zurücksetzen möchten, klicken Sie auf den Umkehren-Pfeil neben der Abschnittsüberschrift. Alle in diesem Abschnitt vorgenommenen Änderungen werden verworfen.
Konfigurieren Sie den Machine-Learning-Schutz mit eShell. Der Kontextname in eShell ist MLP. Öffnen Sie eShell im interaktiven Modus und navigieren Sie zu MLP:
server av on-demand mlp
Aktuelle Berichterstellungseinstellung für verdächtige Anwendungen anzeigen:
get suspicious-reporting
Ändern Sie die Einstellung zu „Vorsichtig“, um die Berichterstellungseinstellungen zu lockern:
set suspicious-reporting cautious
|
