检测引擎通过扫描文件、电子邮件和网络通信来防范恶意系统攻击。当它检测到被归类为恶意软件的对象时,则会启动修复进程。该引擎可以通过首先阻止威胁然后采取进一步措施来消除威胁,例如清理、删除恶意软件或将恶意软件移动到隔离区。
|
|
错误地配置设置可能会降低保护级别。
|
恶意软件检测(由机器学习提供支持)
计算机病毒是一条预置或附加到计算机上现有文件的恶意代码。但是,术语“病毒”经常被误用。“恶意软件”(恶意的软件)是更准确的术语。恶意软件检测由检测引擎模块和机器学习组件一起执行。有关这些应用程序类型的更多信息,请参阅 ESET 词汇表。
潜在不受欢迎的应用程序
潜在不受欢迎的应用程序是一种并无明确恶意的软件,但它可能会安装其他不受欢迎的软件、更改数字设备的行为、执行用户未批准或预期之外的活动,或者具有不明目标。
此类别包括:显示广告的软件、下载封装程序、各种浏览器工具栏、会产生误导行为的软件、捆绑软件、跟踪软件等。有关这些应用程序类型的更多信息,请参阅 ESET 词汇表。
可疑应用程序
是使用加壳程序或保护程序压缩的软件,这些加壳程序或保护程序常用于通过专有的压缩和/或加密方法阻碍反向工程或混淆可执行文件的内容(例如,隐藏恶意软件的存在)。
此类别包括:使用常用于压缩恶意软件的加壳程序或保护程序压缩的所有未知应用程序。
潜在的不安全应用程序
此类别为可能被滥用于恶意用途的合法商业软件。不安全的应用程序是指有可能被滥用于恶意用途的合法商业软件。
此类别包括:破解工具、许可证密钥生成器、黑客工具、远程访问或控制工具、密码破解应用程序以及按键记录器(用于记录用户每次按键的程序)。此选项默认情况下处于禁用状态。有关这些应用程序类型的更多信息,请参阅 ESET 词汇表。
在修改“报告”或“防护”类别的阈值(或级别)之前,请阅读以下内容:
报告由检测引擎和机器学习组件执行。可以设置报告阈值以更好地适合您的环境和需要。没有一个正确的配置。因此,建议您监控您环境中的行为,并确定是否更适合使用其他“报告”设置。
报告不会对对象采取任何操作,而是将信息传递给相应的防护层,然后防护层相应地采取操作。
具有攻击性
|
报告配置为最高敏感度。将报告更多检测。尽管“攻击性”设置似乎是最安全的,但它通常过于敏感,甚至可能适得其反。
|
|
“攻击性”设置可能误报 对象具有恶意,并且将针对此类对象采取操作(具体取决于“防护”设置)。
|
|
均衡
|
此设置是性能、检测率的准确性和误报对象的数量之间的最佳平衡。
|
注意
|
报告配置为最大程度地减少误报对象,同时维持足够级别的防护。仅当可能性显而易见并且匹配恶意行为时才报告对象。
|
关
|
报告未处于活动状态。未找到、未报告或未清除检测。
|
|
恶意软件报告无法停用;因此关设置不适用于恶意软件。
|
|
如果要将此部分中的设置恢复为默认值,请单击该部分标题旁边的“U 形”箭头。在此部分中所做的任何更改都将丢失。
|
当根据上述配置和机器学习结果报告某个对象时,该对象将被阻止并执行操作(清除、删除或移至隔离区)。
具有攻击性
|
报告的攻击性(或更低)级别检测被阻止,自动修复(即,清除)已启动。
|
均衡
|
报告的均衡(或更低)级别检测被阻止,自动修复(即,清除)已启动。
|
注意
|
报告的注意级别检测被阻止,自动修复(即,清除)已启动。
|
关
|
报告未处于活动状态,未找到、未报告或未清除任何检测。
|
|
恶意软件报告无法停用,因此关设置不适用于恶意软件。
|
|
如果要将此部分中的设置恢复为默认值,请单击该部分标题旁边的“U 形”箭头。在此部分中所做的任何更改都将丢失。
|
|
|
默认情况下,上述机器学习防护设置也适用于手动计算机扫描。如果需要,您可以单独配置按需和检测响应设置。单击开关图标以禁用使用实时防护设置,然后继续进行配置。
|
报告
由检测引擎和机器学习组件执行。报告不会对对象采取操作(而由各自的防护层执行)。
保护
配置 Hyper-V 扫描 部分中的参数,以影响对报告的对象所采取的操作。
如果要将此部分中的设置恢复为默认值,请单击该部分标题旁边的“U 形”箭头。在此部分中所做的任何更改都将丢失。
使用 eShell 配置机器学习防护。eShell 中的上下文名称是 MLP。在交互模式下打开 eShell,然后导航到 MLP:
computer hyperv mlp
查看可疑应用程序的当前报告设置:
get suspicious-reporting
如果您想要不太严格的报告,请将该设置更改为“注意”:
set suspicious-reporting cautious
|
报告
由检测引擎和机器学习组件执行。报告不会对对象采取操作(而由各自的防护层执行)。
保护
配置邮件传输防护中的参数,以影响对报告的对象所采取的操作。此外,还可以配置自定义规则:
|
|
核心安装示例:
目的:隔离包含恶意软件或受密码保护、加密或损坏的附件的邮件
为邮件传输防护创建以下规则:
条件
类型:病毒防护扫描结果
操作:为
参数:被感染的 - 未清除
操作
类型:隔离邮件
|
如果要将此部分中的设置恢复为默认值,请单击该部分标题旁边的“U 形”箭头。在此部分中所做的任何更改都将丢失。
使用 eShell 配置机器学习防护。eShell 中的上下文名称是 MLP。在交互模式下打开 eShell,然后导航到 MLP:
server av transport mlp
查看可疑应用程序的当前报告设置:
get suspicious-reporting
如果您想要不太严格的报告,请将该设置更改为“注意”:
set suspicious-reporting cautious
|
报告
由检测引擎和机器学习组件执行。报告不会对对象采取操作(而由各自的防护层执行)。
保护
配置邮箱数据库防护中的参数,以影响对报告的对象所采取的操作。
如果要将此部分中的设置恢复为默认值,请单击该部分标题旁边的“U 形”箭头。在此部分中所做的任何更改都将丢失。
使用 eShell 配置机器学习防护。eShell 中的上下文名称是 MLP。在交互模式下打开 eShell,然后导航到 MLP:
server av database mlp
查看可疑应用程序的当前报告设置:
get suspicious-reporting
如果您想要不太严格的报告,请将该设置更改为“注意”:
set suspicious-reporting cautious
|
报告
由检测引擎和机器学习组件执行。报告不会对对象采取操作(而由各自的防护层执行)。
保护
配置邮箱数据库扫描中的参数,以影响对报告的对象所执行的操作。
如果要将此部分中的设置恢复为默认值,请单击该部分标题旁边的“U 形”箭头。在此部分中所做的任何更改都将丢失。
使用 eShell 配置机器学习防护。eShell 中的上下文名称是 MLP。在交互模式下打开 eShell,然后导航到 MLP:
server av on-demand mlp
查看可疑应用程序的当前报告设置:
get suspicious-reporting
如果您想要不太严格的报告,请将该设置更改为“注意”:
set suspicious-reporting cautious
|
