Configure how Behavior Monitoring is applied to the policy.
 |
重要依預設,「行為監控」在所有版本的 Windows Server 平台上均是關閉的。
|
Before configuring Behavior Monitoring, you must enable the feature. Once enabled,
configure the following settings.
監控等級
監控等級是偵測和回應潛在安全威脅時套用的警覺性與嚴格程度。等級越高,感應器的敏感度就越高,產生的偵測項目和警訊數量也就越多。較高等級可提供更嚴格的監控,以協助應對進行中安全威脅調查等狀況,但可能會產生大量非必要記錄檔並影響端點效能。趨勢科技建議您將監控等級設為「2
- 中等」,以在取得更相關資料的同時,將對端點的影響降到最小。並非所有平台均提供較高監控等級使用的某些元件。
惡意程式行為封鎖
勒索軟體防護
「勒索軟體防護」會阻止「勒索軟體」安全威脅未經授權即修改或加密用戶端上的檔案。勒索軟體是一種惡意軟體,會限制存取檔案,並要求付錢才能恢復受影響的檔案。
Apex One 提供下列方法,保護您的環境不受勒索軟體安全威脅的侵害。
 |
注意若要減少 Trend Vision One 端點安全代理將安全的程序偵測為惡意程式的機會,請確保用戶端具有 Internet 存取,以使用趨勢科技伺服器執行其他驗證程序。
|
|
選項
|
說明
|
||||
|
保護文件以防止未經授權的加密或修改
|
您可以設定行為監控偵測可能代表勒索軟體攻擊的特定事件序列。在「行為監控」比對以下所有條件後,Trend Vision One 端點安全代理就會終止並嘗試隔離惡意程式:
此外,啟動「自動備份可疑程式變更的檔案」,可為端點上要加密的檔案建立副本。完成加密程序後,如果 Apex One 偵測到勒索軟體安全威脅,Apex One 會提示使用者恢復受影響的檔案,而無須承受任何資料遺失之苦。
|
||||
|
封鎖通常與勒索軟體相關的程序
|
勒索軟體在嘗試綁架檔案之前,通常會先將執行檔散佈到端點上的特定位置。封鎖從這些位置啟動的程序有助於防止勒索軟體綁架檔案。
|
||||
|
啟動程式檢測,以偵測並封鎖遭到入侵的可執行檔
|
程式檢測會監控程序並執行 API 攔截,藉以判斷某個程式是否存在非預期的行為。雖然此程序可提高對遭到入侵的可執行檔的整體偵測率,卻可能會導致系統效能降低。
|
弱點攻擊防護
弱點攻擊防護會與程式檢測搭配運作,藉以監控程式的行為,並偵測可能代表攻擊者已攻擊程式弱點的異常行為。偵測到異常行為後,「行為監控」就會終止程式程序。
|
重要若要使用「弱點攻擊防護」,您必須選取「啟動程式檢測,以偵測並封鎖遭到入侵的可執行檔」。
|
新發現的程式防護
「行為監控」與「網頁信譽評等服務」和「即時掃瞄」搭配使用時,可驗證經由 Web 通道、電子郵件應用程式或 Microsoft Office 巨集指令碼下載的檔案的普遍程度。偵測到「新發現」的檔案後,管理員可選擇在執行檔案之前提示使用者。趨勢科技會根據偵測到檔案的次數或是檔案存在的時間長度(由主動雲端截毒技術判定),決定是否將程式分類為新發現的程式。
「行為監控」會掃瞄每個通道的下列檔案類型:
-
Web (HTTP/HTTPS):掃瞄
.exe檔案。 -
電子郵件應用程式:掃瞄
.exe檔案以及未加密的.zip和.rar檔案中的壓縮.exe檔案。
|
注意
|
事件監控
事件監控提供了一種更為通用的方法來抵禦未授權軟體和惡意程式攻擊。它會在系統區域中監控某些事件,允許管理員調整觸發此類事件的程式。如果您的特定系統保護需求高於惡意程式行為封鎖提供的需求,請使用事件監控。
以下表格為監控系統事件清單。
監控的系統事件
|
事件
|
說明
|
|
重複的系統檔案
|
許多惡意程式會使用 Windows 系統檔案所使用的檔案名稱,來建立本身或其他惡意程式的副本。這樣做通常是為了覆寫或取代系統檔案、規避偵測,或讓使用者不敢隨意刪除惡意檔案。
|
|
主機檔案的修改
|
Hosts 檔案可將網域名稱對應到 IP 位址。許多惡意程式皆有能力修改主機檔案,而使網路瀏覽器重新導向至中毒、不存在或偽造的網站。
|
|
可疑行為
|
可疑行為是合法程式很少執行的特定動作或一系列動作。使用有可疑行為的程式時應小心謹慎。
|
|
新增 Internet Explorer 嵌入程式
|
間諜程式/可能的資安威脅程式通常會安裝不必要的 Internet Explorer 嵌入程式,包括工具列和瀏覽器協助物件。
|
|
Internet Explorer 設定的修改
|
惡意程式可能會變更 Internet Explorer 設定,包括首頁、信任的網站、Proxy 伺服器設定和功能表擴充項目等。
|
|
安全策略的修改
|
修改「Windows 安全策略」可允許不必要的應用程式執行及變更系統設定。
|
|
程式庫插入
|
許多惡意程式都會設定 Windows,以讓所有應用程式自動載入程式庫 (DLL)。這樣可讓 DLL 中的惡意常式在每次應用程式啟動時執行。
|
|
Shell 的修改
|
許多惡意程式都會修改 Windows Shell 設定,以將本身與特定檔案類型關聯。此常式可讓惡意程式在使用者於「Windows 檔案總管」中開啟關聯的檔案時自動啟動。變更
Windows Shell 設定也可以讓惡意程式追蹤所使用的程式,以及隨著合法應用程式啟動。
|
|
新增服務
|
Windows 服務是具有特殊功能的處理程序,通常以完整的系統管理權限在背景連續執行。惡意程式有時會將本身安裝為服務,以維持隱藏狀態。
|
|
系統檔案的修改
|
特定 Windows 系統檔案決定系統行為,包括啟動程式和螢幕保護裝置設定。許多惡意程式都會修改系統檔案,以在系統啟動時自動啟動並控制系統行為。
|
|
防火牆策略的修改
|
「Windows 防火牆策略」決定可存取網路的應用程式、開放用於通訊的通訊埠,以及可與電腦通訊的 IP 位址。許多惡意程式都會修改策略,以允許本身存取網路和 Internet。
|
|
系統處理程序的修改
|
許多惡意程式會在內建 Windows 處理程序中執行各種動作。這些動作可能包含終止或修改執行中的處理程序。
|
|
新的啟動程式
|
惡意應用程式通常會在 Windows 登錄中新增或修改自動啟動項目,以在每次電腦啟動時自動啟動。
|
以下表格列出的是管理員在監控系統事件上可採取的行動。
監控的系統事件的處理行動
|
處理行動
|
說明
|
||
|
評估
|
Trend Vision One 端點安全代理一律允許與事件相關聯的程式執行,並且會記錄事件以供評估。
這是對所有監控的系統事件的預設處理行動。
|
||
|
允許
|
Trend Vision One 端點安全代理一律允許與事件相關聯的程式執行。
|
||
|
需要時詢問
|
Trend Vision One 端點安全代理會提示使用者允許或拒絕與事件相關聯的程式執行,並將該程式新增到例外清單。
如果使用者在特定的時間內未回應,Trend Vision One 端點安全代理會自動允許此程式執行。預設時間為 30 秒。
|
||
|
拒絕
|
Trend Vision One 端點安全代理一律封鎖與事件相關聯的程式執行,並且會記錄事件。
在已啟動通知的情況下,封鎖某個程式後,Trend Vision One 端點安全代理會在端點上顯示通知。
|