Le moteur de détection vous protège des attaques malveillantes contre le système en analysant les échanges de fichiers et d'e-mails, ainsi que les communications Internet. Si un objet classé comme logiciel malveillant est détecté, la correction commencera. Le moteur de détection peut l'éliminer en le bloquant dans un premier temps, puis en exécutant une action comme le nettoyage, la suppression ou la mise en quarantaine.
Protection en temps réel et par apprentissage machine
L’apprentissage machine avancé fait désormais partie du moteur de détection. Il constitue couche avancée de protection qui améliore la détection basée sur l’apprentissage machine. Pour en savoir plus sur ce type de protection, consultez le glossaire. Vous pouvez configurer les niveaux de protection et de rapport des catégories suivantes :
Logiciel malveillant
Un virus informatique est un fragment de code malveillant ajouté à des fichiers qui sont sur votre ordinateur. Le terme « virus » est souvent utilisé de manière incorrecte. Le terme « logiciel malveillant » (malware, en anglais) est plus précis. La détection des logiciels malveillants est effectuée par le module du moteur de détection associé au composant d'apprentissage machine. Pour en savoir plus sur ces types d'applications, consultez le glossaire.
Applications potentiellement indésirables
Une application potentiellement indésirable est un logiciel dont l'objectif n'est pas nécessairement malveillant. Il peut toutefois installer d'autres logiciels non souhaités, modifier le comportement de l'appareil numérique, effectuer des activités non approuvées ou non attendues par l'utilisateur ou avoir d'autres objectifs flous.
Cette catégorie comprend : logiciels qui affichent des publicités, wrappers de téléchargement, diverses barres d'outils de navigateur, logiciels avec un comportement trompeur, bundleware, trackware, etc. Pour en savoir plus sur ces types d'applications, consultez le glossaire.
Applications potentiellement suspectes
Une application suspecte est un logiciel compressé par des compresseurs ou des programmes de protection qui est souvent utilisée pour décourager l'ingénierie inverse ou pour obfusquer le contenu de l'exécutable (pour masquer la présence de logiciels malveillants par exemple) par des méthodes propriétaires de compression et/ou chiffrement.
Cette catégorie comprend les éléments suivants : toutes les applications inconnues compressées à l'aide d'un compresseur ou d'un programme de protection fréquemment utilisées pour compresser les logiciels malveillants.
Applications potentiellement dangereuses
Cette classification s'utilise pour des logiciels authentiques du commerce susceptibles d'être utilisés à des fins malveillantes. Les applications dangereuses sont des logiciels commerciaux authentiques susceptibles d'être utilisés à des fins malveillantes.
Cette catégorie englobe : les outils de craquage, les générateurs de clés de licence, les outils de piratage, les programmes d'accès à distance, les applications de résolution de mot de passe ou les keyloggers (programmes qui enregistrent chaque frappe au clavier de l'utilisateur). Cette option est désactivée par défaut.
Pour en savoir plus sur ces types d'applications, consultez le glossaire.
Lisez les informations suivantes avant de modifier un seuil (ou niveau) pour les rapports ou la protection d'une catégorie :
La création de rapports est effectuée par le moteur de détection et le composant d'apprentissage machine. Vous pouvez définir le seuil des rapports pour les adapter à votre environnement et à vos besoins. Il n'y a pas qu'une seule configuration correcte. Il est donc recommandé de surveiller le comportement dans votre environnement et de déterminer décider si une configuration différente des rapports est plus appropriée.
Les rapports n'exécutent pas des actions sur les objets. Ils transmettent les informations à une couche de protection. C'est celle-ci qui prend des mesures en conséquence.
Offensif
|
Rapports configurés sur une sensibilité maximale. D’autres détections sont signalées. Alors que le paramètre Offensif peut sembler être le plus sûr, il peut souvent être trop sensible, ce qui peut être contre-productif.
|
|
Le paramètre Offensif peut identifier à tort des objets comme étant malveillants. Des actions seront alors exécutées sur ces objets (selon les paramètres de protection).
|
|
Équilibré
|
Cette configuration offre un équilibre optimal entre les performances et la précision des taux de détection et le nombre d'objets signalés à tort.
|
Prudent
|
Rapports configurés pour réduire le nombre d'objets identifiés à tort tout en maintenant un niveau de protection suffisant. Les objets ne sont signalés que lorsque la probabilité est évidente et correspond à un comportement malveillant.
|
Désactivée
|
La création de rapports n’est pas active. Aucune détection n’est effectuée, signalée ou nettoyée.
|
|
Les rapports sur les logiciels malveillants ne peuvent pas être désactivés. Le paramètre Désactivée n’est donc pas disponible pour les logiciels malveillants.
|
|
Si vous souhaitez rétablir les valeurs par défaut des paramètres de cette section, cliquez sur la flèche en forme de demi-tour à côté de l’en-tête de section. Toutes les modifications que vous avez apportées dans cette section seront perdues.
|
Rapports
Effectuée par le moteur de détection et le composant d’apprentissage machine. La création de rapports n'exécute pas des actions sur les objets (cette opération est effectuée par les couches de protection respectives).
Protection
Configurez les paramètres de la protection du transport des messages pour influencer l’action exécutée sur les objets signalés. Vous pouvez également configurer une règle personnalisée :
|
|
Exemple d'installation minimale :
Objectif : Messages en quarantaine contenant un logiciel malveillant ou une pièce jointe protégée par mot de passe, endommagée ou chiffrée
Créez la règle suivante pour la protection du transport des messages :
Condition
Type : Résultat de l'analyse antivirus
Opération : est
Paramètre : Infecté - nettoyage non effectué
Action
Type : Message en quarantaine
|
Si vous souhaitez rétablir les valeurs par défaut des paramètres de cette section, cliquez sur la flèche en forme de demi-tour à côté de l’en-tête de section. Toutes les modifications que vous avez apportées dans cette section seront perdues.
Configurez la protection par apprentissage machine à l’aide d'eShell. Le nom du contexte dans eShell est MLP. Ouvrez eShell en mode interactif et accéder à MLP :
server av transport mlp
Déterminez les paramètres de rapports actuels pour les applications suspectes :
get suspicious-reporting
Si vous souhaitez des rapports moins stricts, définissez le paramètre sur Prudent :
set suspicious-reporting cautious
|
Rapports
Effectuée par le moteur de détection et le composant d’apprentissage machine. La création de rapports n'exécute pas des actions sur les objets (cette opération est effectuée par les couches de protection respectives).
Protection
Configurez les paramètres de la protection de base de données de boîtes aux lettres pour influencer l’action exécutée sur les objets signalés.
Si vous souhaitez rétablir les valeurs par défaut des paramètres de cette section, cliquez sur la flèche en forme de demi-tour à côté de l’en-tête de section. Toutes les modifications que vous avez apportées dans cette section seront perdues.
Configurez la protection par apprentissage machine à l’aide d'eShell. Le nom du contexte dans eShell est MLP. Ouvrez eShell en mode interactif et accéder à MLP :
server av database mlp
Déterminez les paramètres de rapports actuels pour les applications suspectes :
get suspicious-reporting
Si vous souhaitez des rapports moins stricts, définissez le paramètre sur Prudent :
set suspicious-reporting cautious
|
Rapports
Effectuée par le moteur de détection et le composant d’apprentissage machine. La création de rapports n'exécute pas des actions sur les objets (cette opération est effectuée par les couches de protection respectives).
Protection
Configurez les paramètres de l'analyse de base de données de boîtes aux lettres à la demande pour influencer l’action exécutée sur les objets signalés.
Si vous souhaitez rétablir les valeurs par défaut des paramètres de cette section, cliquez sur la flèche en forme de demi-tour à côté de l’en-tête de section. Toutes les modifications que vous avez apportées dans cette section seront perdues.
Configurez la protection par apprentissage machine à l’aide d'eShell. Le nom du contexte dans eShell est MLP. Ouvrez eShell en mode interactif et accéder à MLP :
server av on-demand mlp
Déterminez les paramètres de rapports actuels pour les applications suspectes :
get suspicious-reporting
Si vous souhaitez des rapports moins stricts, définissez le paramètre sur Prudent :
set suspicious-reporting cautious
|
