检测引擎将通过扫描文件、电子邮件和网络通信来防范恶意系统攻击。如果检测到分类为恶意软件的对象,将开始消除。检测引擎可以通过先阻止它,然后采取清除、删除或移至隔离区等操作来消除它。
实时和机器学习保护
高级机器学习现在是检测引擎的一部分(作为高级防护层),可根据机器学习改进检测。请阅读词汇表中关于此类防护的更多信息。可以配置以下类别的“报告”和“防护”级别:
恶意软件
计算机病毒是一条预置或附加到计算机上现有文件的恶意代码。但是,术语“病毒”经常被误用。“恶意软件”(恶意的软件)是更准确的术语。恶意软件检测由检测引擎模块和机器学习组件一起执行。请阅读词汇表 中关于此类应用程序的更多信息。
潜在不受欢迎的应用程序 (PUA)
潜在不受欢迎的应用程序是一种并无明确恶意的软件,但它可能会安装其他不受欢迎的软件、更改数字设备的行为、执行用户未批准或预期之外的活动,或者具有不明目标。
此类别包括:显示广告的软件、下载封装程序、各种浏览器工具栏、会产生误导行为的软件、捆绑软件、跟踪软件等。请阅读词汇表 中关于此类应用程序的更多信息。
潜在的可疑应用程序
是使用加壳程序或保护程序压缩的软件,这些加壳程序或保护程序常用于通过专有的压缩和/或加密方法阻碍反向工程或混淆可执行文件的内容(例如,隐藏恶意软件的存在)。
此类别包括:使用常用于压缩恶意软件的加壳程序或保护程序压缩的所有未知应用程序。
潜在的不安全应用程序
此类别为可能被滥用于恶意用途的合法商业软件。不安全的应用程序是指有可能被滥用于恶意用途的合法商业软件。
此类别包括:破解工具、许可证密钥生成器、黑客工具、远程访问或控制工具、密码破解应用程序以及按键记录器(用于记录用户每次按键的程序)。此选项默认情况下处于禁用状态。
请阅读词汇表 中关于此类应用程序的更多信息。
在修改“报告”或“防护”类别的阈值(或级别)之前,请阅读以下内容:
报告由检测引擎和机器学习组件执行。可以设置报告阈值以更好地适合您的环境和需要。没有一个正确的配置。因此,建议您监控您环境中的行为,并确定是否更适合使用其他“报告”设置。
报告不会对对象采取任何操作,而是将信息传递给相应的防护层,然后防护层相应地采取操作。
具有攻击性
|
报告配置为最高敏感度。将报告更多检测。尽管“攻击性”设置似乎是最安全的,但它通常过于敏感,甚至可能适得其反。
|
|
“攻击性”设置可能误报 对象具有恶意,并且将针对此类对象采取操作(具体取决于“防护”设置)。
|
|
均衡
|
此设置是性能、检测率的准确性和误报对象的数量之间的最佳平衡。
|
注意
|
报告配置为最大程度地减少误报对象,同时维持足够级别的防护。仅当可能性显而易见并且匹配恶意行为时才报告对象。
|
关
|
报告未处于活动状态。未找到、未报告或未清除检测。
|
|
恶意软件报告无法停用;因此关设置不适用于恶意软件。
|
|
如果要将此部分中的设置恢复为默认值,请单击该部分标题旁边的“U 形”箭头。在此部分中所做的任何更改都将丢失。
|
报告
由检测引擎和机器学习组件执行。报告不会对对象采取操作(而由各自的防护层执行)。
保护
配置邮件传输防护中的参数,以影响对报告的对象所采取的操作。此外,还可以配置自定义规则:
|
|
核心安装示例:
目的:隔离包含恶意软件或受密码保护、加密或损坏的附件的邮件
为邮件传输防护创建以下规则:
条件
类型:病毒防护扫描结果
操作:为
参数:被感染的 - 未清除
操作
类型:隔离邮件
|
如果要将此部分中的设置恢复为默认值,请单击该部分标题旁边的“U 形”箭头。在此部分中所做的任何更改都将丢失。
使用 eShell 配置机器学习防护。eShell 中的上下文名称是 MLP。在交互模式下打开 eShell,然后导航到 MLP:
server av transport mlp
查看可疑应用程序的当前报告设置:
get suspicious-reporting
如果您想要不太严格的报告,请将该设置更改为“注意”:
set suspicious-reporting cautious
|
报告
由检测引擎和机器学习组件执行。报告不会对对象采取操作(而由各自的防护层执行)。
保护
配置邮箱数据库防护中的参数,以影响对报告的对象所采取的操作。
如果要将此部分中的设置恢复为默认值,请单击该部分标题旁边的“U 形”箭头。在此部分中所做的任何更改都将丢失。
使用 eShell 配置机器学习防护。eShell 中的上下文名称是 MLP。在交互模式下打开 eShell,然后导航到 MLP:
server av database mlp
查看可疑应用程序的当前报告设置:
get suspicious-reporting
如果您想要不太严格的报告,请将该设置更改为“注意”:
set suspicious-reporting cautious
|
报告
由检测引擎和机器学习组件执行。报告不会对对象采取操作(而由各自的防护层执行)。
保护
配置手动邮箱数据库扫描中的参数,以影响对报告的对象所采取的操作。
如果要将此部分中的设置恢复为默认值,请单击该部分标题旁边的“U 形”箭头。在此部分中所做的任何更改都将丢失。
使用 eShell 配置机器学习防护。eShell 中的上下文名称是 MLP。在交互模式下打开 eShell,然后导航到 MLP:
server av on-demand mlp
查看可疑应用程序的当前报告设置:
get suspicious-reporting
如果您想要不太严格的报告,请将该设置更改为“注意”:
set suspicious-reporting cautious
|