檢視次數:
伺服器與工作負載保護 提供安全設定,您可以將其應用於受代理程式保護的 Windows 和 Linux 機器,以增強您對惡意程式和勒索軟體的檢測和清除率。這些設定使您能夠超越惡意程式模式匹配,識別可能包含尚未添加到惡意程式防護模式中的新興惡意程式的可疑檔案(稱為零日攻擊)。
若要查看惡意程式防護模組的防護總覽,請參閱 防護惡意程式
重要
重要
行為監控不支援 macOS 代理。

增強掃描如何保護您? 上層主題

Threat detection:為了避免被偵測到,一些類型的惡意程式會嘗試修改系統檔案或已知安裝軟體的相關檔案。這些類型的變更通常不會被注意到,因為惡意程式取代了合法的檔案。伺服器與工作負載保護 可以監控系統檔案和已安裝的軟體,以偵測和防止未經授權的變更發生。
Anti-exploit:惡意程式編寫者可以使用惡意程式碼掛鉤到使用者模式進程,以獲得對受信任進程的特權訪問並隱藏惡意活動。惡意程式編寫者通過 DLL 注入將程式碼注入使用者進程,這會調用具有提升特權的 API。他們還可以通過提供惡意有效載荷來觸發軟體漏洞攻擊,以觸發記憶體中的程式碼執行。在 伺服器與工作負載保護 中,反漏洞功能會監控可能執行給定進程通常不會執行的操作的進程。通過使用多種機制,包括資料防護執行防止 (DEP)、結構化異常處理覆蓋保護 (SEHOP) 和堆噴射防護,伺服器與工作負載保護 可以確定進程是否已被入侵,然後終止進程以防止進一步感染。
Extended ransomware protection:最近,勒索軟體變得更加複雜且針對性更強。大多數組織都有包含惡意程式防護的安全政策,這在其端點上提供了一定程度的防護,能對已知的勒索軟體變種進行防護;然而,這可能不足以檢測和防止新變種的病毒爆發。伺服器與工作負載保護 提供的勒索軟體防護可以保護文件免受未經授權的加密或修改。伺服器與工作負載保護 還整合了一個資料防護引擎,可以選擇性地創建被加密文件的副本,為用戶提供額外的機會來恢復可能被勒索軟體加密的文件。

如何啟用增強掃描 上層主題

增強掃描已配置為應用於政策或個別電腦的惡意程式防護設定的一部分。有關配置惡意程式防護的常規資訊,請參閱 啟用和配置惡意程式防護
重要
重要
這些設定只能應用於受代理程式保護的 Windows 和 Linux 機器。
秘訣
秘訣
增強掃描可能會對執行高負載應用程式的代理電腦產生效能影響。我們建議在部署已啟動增強掃描的代理之前,先查看惡意程式防護效能提示
第一步是在即時惡意程式掃瞄配置中啟用增強掃描:

步驟

  1. 伺服器與工作負載保護 主控台中,依次選擇 Policies Common Objects Other Malware Scan Configurations
  2. 雙擊現有的即時掃瞄配置以進行編輯(有關惡意程式掃瞄配置的詳細資訊,請參見 配置惡意程式掃瞄)。
  3. General標籤下,選擇Enable Behavior Monitoring,位於行為監控中。
  4. 配置Detection levelPrevention level的設定。
    重要
    重要
    • 調整檢測和防護級別僅支援代理版本 20.0.1.25770 及更高版本。不支援的版本使用預設級別 2 - Moderate,且無法更改。
    • 較高的級別提供更高的靈敏度,但可能會產生大量不必要的日誌並影響端點性能。趨勢科技建議選擇2 - Moderate以獲得更相關的資料,並對您的端點影響最小。
    • Prevention level 必須與 Detection level 相同或更低。
    • Action to take 的選擇可能會影響所選防護級別所採取的防護措施。
  5. 對於Action to take,請選擇您希望伺服器與工作負載保護在檢測到惡意程式時採取的修復行動:
    • ActiveAction (recommended):使用 ActiveAction 確定的動作。ActiveAction 是一組針對每個惡意程式類別優化的預定義清理動作。趨勢科技持續調整 ActiveAction 中的動作,以確保正確處理每個檢測結果。(請參閱 ActiveAction 動作。)
    • 暫不處理: 伺服器與工作負載保護 記錄了一個惡意程式防護事件,但未對該檔案採取行動。
  6. 選擇Back up and restore ransomware-encrypted files(可選)。選擇此選項時,伺服器與工作負載保護將建立正在被加密的檔案的備份副本,以防它們被勒索軟體程序加密。此選項僅適用於運行 Windows 的電腦。
  7. 點選 確定
    注意
    注意
    預設情況下,實時掃瞄設置為掃瞄所有目錄。如果您更改掃瞄設置以掃瞄目錄列表,增強掃瞄可能無法如預期運作。例如,如果您設置Directories to scan掃瞄“Folder1”,而勒索軟體發生在Folder1中,如果與勒索軟體相關的加密發生在Folder1之外的文件中,則可能無法檢測到。
  8. 接下來,將惡意程式掃瞄配置應用到政策或個別電腦防護:
    1. 在電腦防護或政策編輯器中,前往Anti-Malware General
    2. 確保Anti-Malware State開啟Inherited (On)
    3. 常規標籤包含即時掃瞄手動掃瞄預約掃瞄部分。在相應部分中,使用Malware Scan Configuration列表選擇您上面創建的掃瞄配置。
    4. 點選 儲存

增強掃描發現問題時會發生什麼情況? 上層主題

伺服器與工作負載保護 發現符合您已啟動的增強掃瞄設定的活動或檔案時,它會記錄一個事件(前往 Events & Reports Events Anti-Malware Events to 查看事件列表)。該事件將在 Major Virus Type 欄中標識為「可疑活動」或「未經授權的變更」,詳細資訊將顯示在 Target(s)TargetType 欄中。
伺服器與工作負載保護 會執行多種與增強掃瞄設定相關的檢查,所採取的行動取決於發現問題的檢查類型。伺服器與工作負載保護 可能會「拒絕存取」、「終止」或「清除」可疑物件。這些行動由 伺服器與工作負載保護 決定,且不可配置,除了「清除」行動外:
  • Deny Access:當伺服器與工作負載保護偵測到嘗試開啟或執行可疑檔案時,會立即阻止該操作並記錄一個惡意程式防護事件。
  • Terminate伺服器與工作負載保護 終止執行可疑操作的進程並記錄一個惡意程式防護事件。
  • Clean伺服器與工作負載保護 檢查惡意程式掃瞄設定,並執行在動作標籤上指定的特洛伊木馬程式動作。將會產生一個或多個與對特洛伊木馬程式檔案執行的動作相關的其他事件。
behavior-monitoring-events=8357b82d-b287-4c9b-a6a8-02fa38c313a3.png
雙擊事件以查看詳細資訊:
behavior-monitoring-event-detail=e3926908-28d7-4b34-85fe-37f51710dab4.png
與勒索軟體相關的事件有一個額外的目標檔案標籤:
ransomware-event-details=61c13829-c452-482c-a168-3f00869c5292.png
targeted-files=62bf5d3a-0841-4b6b-bcd2-f0a8d1173901.png
如果您調查後發現被識別的檔案無害,您可以右鍵點選該事件並點選允許,將該檔案添加到電腦防護或政策的掃瞄例外清單中。您可以在政策或電腦防護編輯器中,於Anti-Malware Advanced Behavior Monitoring Protection Exceptions下檢查掃瞄例外清單。