Die Erkennungsroutine schützt Sie vor bösartigen Systemangriffen, indem Dateien, E-Mails und die Netzwerkkommunikation gescannt werden. Wenn ein als Malware eingestuftes Objekt erkannt wird, beginnt die Behebung. Die Erkennungsroutine kann das Ereignis zunächst blockieren und
anschließend säubern, löschen oder in die Quarantäne verschieben.
Echtzeit- & Machine-Learning-Schutz
Advanced Machine Learning ist jetzt als zusätzliche Schutzebene in der Erkennungsroutine enthalten, um die Erkennung auf Basis von Machine Learning zu verbessern. Weitere Informationen zu diesem Schutztyp finden Sie in unserem Glossar . Sie können Berichterstellung und Schutzebenen für die folgenden Kategorien konfigurieren:
Malware
Computerviren sind Schadcode, der den vorhandenen Dateien auf Ihrem Computer vorangestellt oder angefügt wird. Allerdings wird der Begriff „Virus“ oft missbraucht. „Malware“ (Schadcode) ist ein genauerer Begriff. Die Malware-Erkennung wird von der Erkennungsroutine zusammen mit der Machine-Learning-Komponente ausgeführt. Weitere Informationen zu diesen Anwendungstypen finden Sie im Glossar .
Eventuell unerwünschte Anwendungen
Eine eventuell unerwünschte Anwendung ist ein Programm, das nicht zwangsläufig nur böse Absichten verfolgt, jedoch zusätzliche unerwünschte Software installieren, das Verhalten des digitalen Geräts manipulieren, unerwünschte oder unerwartete Aktionen ausführen kann oder sonstige unklare Ziele verfolgt.
Zu dieser Kategorie gehören: Software für Werbeeinblendungen, Download-Wrapper, verschiedene Browser-Werkzeugleisten, Software mit irreführenden Verhaltensweisen, Bundleware, Trackware usw.
Weitere Informationen zu diesem Anwendungstyp finden Sie im Glossar . Verdächtige Anwendungen
Diese Kategorie umfasst Programme, die mit Pack - oder Schutzprogrammen komprimiert wurden. Diese Methoden werden häufig eingesetzt, um Reverse-Engineering zu verhindern oder um den Inhalt des Programms mit proprietären Kompressions- und/oder
Verschlüsselungsmethoden zu verschleiern, z. B. um Malware zu verbergen.
In diese Kategorie gehören alle unbekannten Anwendungen, die mit Pack- oder Schutzprogrammen komprimiert wurden.
Potenziell unsichere Anwendungen
Diese Klassifizierung wird für gewerbliche und legitime Software vergeben, die jedoch für
bösartige Zwecke missbraucht werden kann. Potenziell unsichere Anwendungen sind gewerbliche
Programme, die zu bösartigen Zwecken missbraucht werden können.
Zu dieser Kategorie gehören: Cracker- und Hackerwerkzeuge, Programme zum Generieren von Lizenzschlüsseln, Suchprogramme für Produktschlüssel, Programme für Fernzugriff oder
Fernsteuerung, Programme zum Entschlüsseln von Passwörtern, Keylogger usw. Diese Option ist in der Voreinstellung deaktiviert.
Weitere Informationen zu diesem Anwendungstyp finden Sie im Glossar .
Lesen Sie die folgenden Informationen, bevor Sie einen Schwellenwert (oder eine Stufe) für die Berichterstellung oder den Schutz ändern:
Berichterstellung
Die Berichterstellung wird von der Erkennungsroutine und der Machine-Learning-Komponente ausgeführt. Sie können den Schwellenwert für Berichte an Ihre Umgebung und Ihre Anforderungen anpassen. Es gibt keine allgemein gültige Konfiguration. Überwachen Sie das Verhalten in Ihrer Umgebung und passen Sie die Einstellung für die Berichterstellung entsprechend an.
Bei der Berichterstellung werden keine Aktionen an Objekten ausgeführt, sondern nur Informationen an die jeweilige Schutzebene weitergeleitet. Die Schutzebene ist für die entsprechenden Aktionen zuständig.
Aggressiv Berichterstellung mit maximaler Empfindlichkeit. Weitere Ereignisse werden gemeldet. Die aggressive Einstellung ist zwar am sichersten, ist jedoch oft zu empfindlich, was sogar kontraproduktiv sein kann.
HINWEIS
Bei der aggressiven Einstellung können Objekte fälschlicherweise als bösartig erkannt werden und Aktionen mit solchen Objekten ausgeführt werden (je nach Schutzeinstellungen).
Ausgewogen Diese Einstellung ist eine optimale Balance zwischen Leistung und Genauigkeit der Erkennungsraten und der Anzahl fälschlich gemeldeter Objekte.
Vorsichtig Berichte zur Minimierung falsch erkannter Objekte unter Beibehaltung eines ausreichenden Schutzniveaus. Objekte werden nur gemeldet, wenn die Erkennung sehr wahrscheinlich ist und mit dem Verhalten von Malware übereinstimmt.
Aus Die Berichterstellung ist nicht aktiv. Ereignisse werden nicht gefunden, gemeldet oder gesäubert.
HINWEIS
Malware-Berichte können nicht deaktiviert werden. Daher ist die Einstellung Aus für Malware nicht verfügbar.
Wenn Sie die Einstellungen in diesem Bereich auf die Standardwerte zurücksetzen möchten, klicken Sie auf den Umkehren-Pfeil neben der Abschnittsüberschrift. Die in diesem Abschnitt
vorgenommenen Änderungen gehen dabei verloren.
E-Mail-Transport- und Machine-Learning-Schutz
Berichte
Wird von der Erkennungsroutine und der Machine-Learning-Komponente ausgeführt. Bei der
Berichterstellung werden keine Aktionen an Objekten ausgeführt (dafür ist die jeweilige Schutzebene zuständig).
Schutz
Konfigurieren Sie die Parameter unter E-Mail-Transportschutz, um festzulegen, welche Aktionen an gemeldeten Objekten ausgeführt werden. Außerdem können Sie benutzerdefinierte Regeln
konfigurieren:
BEISPIEL
Zielsetzung: Nachrichten in die Quarantäne verschieben, die Malware oder passwortgeschützte, verschlüsselte oder beschädigte Anhänge enthalten
Erstellen Sie die folgende Regel für den Mail-Transport-Schutz:
Bedingung
Typ: Scan-Ergebnis des Virenschutzes Vorgang: ist
Parameter: Infiziert - nicht gesäubert Aktion
Typ: E-Mail in Quarantäne verschieben
Wenn Sie die Einstellungen in diesem Bereich auf die Standardwerte zurücksetzen möchten, klicken Sie auf den Umkehren-Pfeil neben der Abschnittsüberschrift. Die in diesem Abschnitt
vorgenommenen Änderungen gehen dabei verloren.
Konfigurieren Sie den Machine-Learning-Schutz mit eShell. Der Kontextname in eShell ist MLP.
Öffnen Sie eShell im interaktiven Modus und navigieren Sie zu MLP:
server av transport mlp
Aktuelle Berichterstellungseinstellung für verdächtige Anwendungen anzeigen:
get suspicious-reporting
Ändern Sie die Einstellung zu „Vorsichtig“, um die Berichterstellungseinstellungen zu lockern:
set suspicious-reporting cautious
Postfachdatenbank-Schutz und Machine-Learning-Schutz
Berichte
Wird von der Erkennungsroutine und der Machine-Learning-Komponente ausgeführt. Bei der
Berichterstellung werden keine Aktionen an Objekten ausgeführt (dafür ist die jeweilige Schutzebene zuständig).
Schutz
Konfigurieren Sie die Parameter unter Postfach-Datenbankschutz, um festzulegen, welche Aktionen an gemeldeten Objekten ausgeführt werden.
Wenn Sie die Einstellungen in diesem Bereich auf die Standardwerte zurücksetzen möchten, klicken Sie auf den Umkehren-Pfeil neben der Abschnittsüberschrift. Die in diesem Abschnitt
vorgenommenen Änderungen gehen dabei verloren.
Konfigurieren Sie den Machine-Learning-Schutz mit eShell. Der Kontextname in eShell ist MLP.
Öffnen Sie eShell im interaktiven Modus und navigieren Sie zu MLP:
server av database mlp
Aktuelle Berichterstellungseinstellung für verdächtige Anwendungen anzeigen:
get suspicious-reporting
Ändern Sie die Einstellung zu „Vorsichtig“, um die Berichterstellungseinstellungen zu lockern:
set suspicious-reporting cautious
On-Demand-Postfachdatenbank-Scan und Machine-Learning-Schutz Berichte
Wird von der Erkennungsroutine und der Machine-Learning-Komponente ausgeführt. Bei der
Berichterstellung werden keine Aktionen an Objekten ausgeführt (dafür ist die jeweilige Schutzebene zuständig).
Schutz
Konfigurieren Sie die Parameter unter On-Demand-Postfachdatenbank-Scan, um festzulegen, welche Aktionen an gemeldeten Objekten ausgeführt werden.
Wenn Sie die Einstellungen in diesem Bereich auf die Standardwerte zurücksetzen möchten, klicken Sie auf den Umkehren-Pfeil neben der Abschnittsüberschrift. Die in diesem Abschnitt
vorgenommenen Änderungen gehen dabei verloren.
Konfigurieren Sie den Machine-Learning-Schutz mit eShell. Der Kontextname in eShell ist MLP.
Öffnen Sie eShell im interaktiven Modus und navigieren Sie zu MLP:
server av on-demand mlp
Aktuelle Berichterstellungseinstellung für verdächtige Anwendungen anzeigen:
get suspicious-reporting
Ändern Sie die Einstellung zu „Vorsichtig“, um die Berichterstellungseinstellungen zu lockern:
set suspicious-reporting cautious