ThreatSense est une technologie composée de nombreuses méthodes de détection de menaces complexes. Cette technologie proactive fournit également une protection durant les premières heures de propagation d'une nouvelle menace. Elle utilise une combinaison d'analyse de code, d'émulation de code, de signatures génériques et de signatures de virus qui se conjuguent pour améliorer sensiblement la sécurité du système. Ce moteur d'analyse est capable de contrôler simultanément plusieurs flux de données, maximisant ainsi l'efficacité et le taux de détection. La technologie ThreatSense élimine également les rootkits.
|
|
Pour en savoir plus sur la vérification automatique des fichiers de démarrage, voir Analyse au démarrage.
|
Les options de configuration du moteur ThreatSense permettent également de préciser plusieurs paramètres d'analyse :
•Les types de fichiers et extensions à analyser
•La combinaison de plusieurs méthodes de détection
•les niveaux de nettoyage, etc.
Pour ouvrir la fenêtre de configuration, cliquez sur Configuration des paramètres du moteur ThreatSense dans la fenêtre de configuration avancée (F5) de tout module utilisant la technologie ThreatSense (voir ci-dessous). Chaque scénario de sécurité peut exiger une configuration différente. Sachant cela, ThreatSense peut être configuré individuellement pour les modules de protection suivants :
•Protection du transport de messagerie
•Protection de la base de données de la boîte de courriel à la demande
•Protection de la base de données de messagerie
•Analyse Hyper-V
•Protection en temps réel du système de fichier
•Analyses de logiciels malveillants
•Analyse en état inactif
•Analyse au démarrage
•Protection des documents
•Protection du client de messagerie
•Protection de l'accès Web
ThreatSenseles paramètres sont hautement optimisés pour chaque module et leur modification peut avoir d'importantes répercussions sur le fonctionnement du système. Par exemple, en modifiant les paramètres pour toujours analyser les logiciels de compression exécutables ou pour autoriser les heuristiques avancées dans la protection en temps réel du système de fichier, vous pouvez diminuer les performances du système (normalement, seuls les fichiers nouvellement créés sont analysés par ces méthodes). Il est recommandé de laisser inchangés les paramètres par défaut de ThreatSense pour tous les modules, à l'exception du module Analyse de l'ordinateur.
Cette section vous permet de définir quels éléments et fichiers de l'ordinateur seront analysés à la recherche d'infiltrations.
Mémoire vive
Analyse à la recherche des menaces qui s'attaquent à la mémoire vive du système.
Secteurs d'amorçage/UEFI
Analyse les secteurs d'amorçage pour détecter la présence de virus dans le MBR (enregistrement d'amorçage maître). Dans le cas d'une machine virtuelle Hyper-V, son disque MBR est analysé en mode lecture seulement.
Base de données WMI
Analyse la base de données WMI complète. Elle recherche des références à des fichiers infectés ou des logiciels malveillants intégrés en tant que données.
Registre système
Analyse le registre du système, toutes les clés et sous-clés, à la recherche de références à des fichiers infectés ou à des logiciels malveillants intégrés dans des données.
Fichiers de courriel
Le programme prend en charge les extensions suivantes : DBX (Outlook Express) et EML.
Archives
Le programme prend en charge les extensions suivantes : ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE et beaucoup d'autres.
Archives à extraction automatique
Les archives auto-extractibles (SFX) n'ont pas besoin de programmes spécialisés (archiveurs) pour être décompressés.
Fichiers exécutables compressés par un compresseur d'exécutables
Après l'exécution, les logiciels de compression exécutables (contrairement aux archiveurs standard) se décompressent dans la mémoire. En plus des logiciels de compression statiques standard (UPX, yoda, ASPack, FSG, etc.), l'analyseur est capable de reconnaitre plusieurs autres types de logiciels de compression grâce à l'émulation de code.
|
|
Pour la protection de la base de données de la boite de courriels, les fichiers courriels en pièce jointe (par exemple .eml files) seront analysés, peu importe le réglage sous Objets à analyser. Cela est dû au fait que le serveur Exchange analyse les fichiers .eml avant de les envoyer pour analyse à ESET Mail Security. Le module d'extension VSAPI reçoit les fichiers extraits de la pièce jointe .eml au lieu de recevoir le fichier original .eml.
|
|
Sélectionnez les méthodes utilisées lors de l'analyse du système à la recherche d'infiltrations. Les options suivantes sont disponibles :
Heuristique
La méthode heuristique utilise un algorithme d'analyse de l'activité (malveillante) des programmes. Le principal avantage de cette technologie est sa capacité à identifier des logiciels malveillants qui n'existaient pas ou n'étaient pas inscrits dans le moteur de détection antérieur.
Heuristique avancée/Signatures DNA
La méthode heuristique avancée utilise un algorithme heuristique développé par ESET, optimisé pour la détection des vers d'ordinateur et des chevaux de Troie, et écrit dans un langage de programmation de haut niveau. L'utilisation de l'heuristique avancée augmente considérablement les capacités de détection de menaces des produits ESET. Les signatures permettent de détecter et d'identifier les virus de façon fiable. Grâce au système de mise à jour automatique, de nouvelles signatures peuvent être disponibles dans les quelques heures de la découverte d'une menace. L'inconvénient des signatures est qu'elles ne détectent que les virus qu'elles connaissent (ou une version légèrement modifiée de ces virus).
|
Les paramètres de nettoyage déterminent le comportement de l'analyseur lors du nettoyage des fichiers infectés. Les modules de protection en temps réel et d’autres modules de protection ont les niveaux de correction (c’est-à-dire de nettoyage) suivants.
Toujours corriger la détection
Essayez de corriger la détection tout en nettoyant les objets sans aucune intervention de l’utilisateur. Les fichiers système sont une exception. Ces objets sont laissés à leur emplacement d’origine si la détection ne peut pas être corrigée.
Corriger la détection si cela est sécuritaire, sinon, la garder
Essayez de corriger la détection tout en nettoyant les objets sans aucune intervention de l’utilisateur. Si une détection ne peut pas être corrigée pour les fichiers système ou les archives (avec des fichiers propres et infectés), l'objet signalé est conservé dans son emplacement d'origine.
Corriger la détection si cela est sécuritaire, sinon, poser la question
Essayez de corriger la détection tout en nettoyant les objets. Dans certains cas, si ESET Mail Security ne peut pas effectuer d’action automatique, vous serez invité à choisir une action (supprimer ou ignorer). Ce paramètre est recommandé dans la plupart des cas.
Toujours demander à l'utilisateur final
Aucune action automatique ne sera effectuée par ESET Mail Security. Vous serez invité à choisir une action.
|
L'extension est la partie du nom de fichier située après le point. Elle définit le type et le contenu du fichier. Cette section du réglage des paramètres ThreatSense vous permet de définir les types de fichiers à exclure de l'analyse.
Autre
Au moment de configurer les paramètres du moteur ThreatSense pour une analyse de l'ordinateur à la demande, les options suivantes dans Autres seront aussi offertes :
Analyser les flux de données alternatifs (ADS)
Les flux de données alternatifs (ADS) utilisés par le système de fichiers NTFS sont des associations de fichiers et de dossiers que les techniques d'analyse ordinaires ne permettent pas de détecter. De nombreuses infiltrations tentent d'éviter la détection en se faisant passer pour des flux de données alternatifs.
Exécuter les analyses en arrière-plan avec une priorité faible
Toute séquence d'analyse consomme une certaine quantité de ressources système. Si vous utilisez des programmes qui exigent beaucoup de ressources du système, vous pouvez activer l'analyse en arrière-plan à faible priorité de manière à réserver des ressources pour vos applications.
Consigner tous les objets
Si cette option est sélectionnée, le fichier journal affiche tous les fichiers analysés, même ceux qui ne sont pas infectés.
Activer l'optimisation intelligente
Lorsque la fonction Optimisation intelligente est activée, les paramètres les plus optimaux sont utilisés pour assurer le niveau d'analyse le plus efficient tout en conservant la vitesse d'analyse la plus élevée. Les différents modules de protection effectuent une analyse intelligente, utilisant pour ce faire différentes méthodes d'analyse et les appliquant à différents types de fichier. Si l'optimisation intelligente est activée, seuls les paramètres définis par l'utilisateur dans le cœur ThreatSense du module spécifique seront appliqués lors de l'analyse.
Conserver la date et l'heure du dernier accès
Activez cette option pour conserver la date et l'heure d'accès d'origine des fichiers analysés au lieu de la mettre à jour (par ex., pour l'utiliser avec des systèmes de sauvegarde de données).
|
La section Limites permet de préciser la taille maximale des objets et les niveaux d'imbrication des archives à analyser :
Paramètres par défaut de l'objet
Activer pour utiliser les paramètres par défaut (aucune limite). ESET Mail Security ignorera vos paramètres personnalisés.
Taille d'objet maximale
Définit la taille maximale des objets à analyser. Le module de protection donné n'analysera alors que les objets dont la taille est inférieure à celle indiquée. Cette option ne devrait être modifiée que par des utilisateurs expérimentés ayant des raisons précises d'exclure de l'analyse des objets de plus grande taille. Valeur par défaut : illimitée.
Durée d'analyse maximale pour l'objet (en secondes)
Précise la valeur de temps maximale pour l'analyse d'un objet. Si la valeur de ce champ a été définie par l'utilisateur, le module de protection cessera d'analyser un objet une fois ce temps écoulé, que l'analyse soit terminée ou non. Valeur par défaut : illimitée.
Configuration de l'analyse des archives
Pour modifier les paramètres d'analyse des archives, désélectionnez Paramètres d'analyse d'archive par défaut.
Niveau d'imbrication des archives
Précise la profondeur maximale de l'analyse des archives. Valeur par défaut : 10. Pour les objets détectés par la Protection du transport de la boîte de courriel, le niveau d'imbrication actuel est de +1, car les pièces jointes d'archive contenues dans un courriel sont considérées comme étant de premier niveau.
|
|
Si vous avez un niveau d'imbrication réglé sur 3, un fichier d'archive avec un niveau d'imbrication de 3 ne sera analysé que sur une couche de transport jusqu'à son niveau réel qui est 2. Par conséquent, si vous souhaitez que les archives soient analysées par la protection de transport de la boîte de courriels jusqu'au niveau 3, réglez la valeur de Niveau d'imbrication d'archive à 4.
|
Taille maximale de fichier dans l'archive
Cette option permet de préciser la taille maximale des fichiers (lors de leur extraction) à analyser, contenus dans les archives. Valeur par défaut : illimitée.
|
|
Il n'est pas recommandé de modifier les valeurs par défaut. Dans des circonstances normales, il n'y a aucune raison de le faire.
|
|
