独立版PHASR

PHASR独立版是Bitdefender PHASR技术的独立部署方案，专为集成到现有多厂商安全环境而设计。该技术通过分析每对用户-设备的行为模式，提供针对性强化建议以缓解风险（如无文件攻击、加密矿工、盗版工具、篡改工具及远程管理工具等风险），无需企业更换现有终端代理或完整防护套件。

PHASR独立版也适用于拥有基础许可证及PHASR附加模块的客户。这意味着您可以在安装其他厂商安全解决方案的终端上部署PHASR独立版。

组件

终端运行PHASR独立版功能需满足以下先决条件：

PHASR独立版许可证
含PHASR独立版的安装包
策略中启用的PHASR独立功能
Windows终端上安装的Bitdefender端点安全工具

功能兼容性

PHASR独立版仅可部署在Windows 10及更高版本上。

安装并配置PHASR独立版

在终端上安装此功能有三种可能场景：

终端未安装 BEST 代理程序。此时请使用创建安装包流程。
终端已安装 BEST 代理程序，但模块列表中未包含PHASR独立版。此时请使用通过重新配置代理任务添加PHASR流程。
终端已安装 BEST 代理程序且包含PHASR独立模块，但未启用含PHASR模块的策略时，请直接跳转至配置并启用PHASR独立版章节。

重要提示

为确保产品正常运行，请在应用独立许可证或安装PHASR独立版期间执行重新配置。

登录 GravityZone 控制中心 .
通过左侧菜单进入网络页面，选择需要部署模块的终端。
点击表格上方的操作按钮并选择 重新配置代理 .
在模块下选择 匹配列表 ，PHASR独立模块将自动启用。
点击保存 .

任务将在所有选定的终端上部署PHASR独立模块。

登录 GravityZone 控制中心 .
从左侧菜单进入 安装包 页面。
点击屏幕右上角的创建按钮。
输入新安装包的名称和描述。
系统将自动选择 PHASR独立 模块。
点击保存 .
从软件包列表中选择新创建的软件包，点击 发送下载链接 .
输入收件人邮箱地址并点击发送 .

策略用于在终端设备及通用功能层面启用和配置各项功能。

GravityZone 预置了一套默认策略设置，这些设置经过专门定制以满足大多数客户的常见需求。默认情况下，这些策略会在安装 BEST 代理后应用于终端设备。您不能修改或删除默认的 GravityZone 策略。

您可以直接使用这些默认策略设置稍后再配置，或通过以下步骤自定义功能：

登录 GravityZone 控制中心 .
通过左侧菜单进入策略页面。
您可以：
- 创建新策略。
- 编辑现有策略。
若为新策略，请在 风险管理 ，请确保 PHASR 开关已启用，并启用您要监控的每种活动类型。

每种活动类型有3种可用设置：
警告

当从 自动模式 切换至 直接控制模式 时，由自动模式强制执行的所有规则限制将被重置。将特定PHASR类别的设置更改为关闭会禁用限制，但不会移除它们。当再次将设置更改为关闭前的先前设置时，这些限制仍将可用。
- 关闭 - PHASR将不会收集任何相关数据，且关联部件不会在PHASR仪表板中显示任何数据。
- 自动模式 - PHASR将收集所选类型的数据，并基于此创建建议并自动应用。
  
  注意
  
  选择自动模式时，所有PHASR建议将由与BEST集成的Bitdefender自动技术自动应用。因此，建议网格中不会显示单独的建议，因为自动模式无需用户干预即可执行处理。您可以通过从PHASR监控规则中打开受限行为配置文件面板，查看自动模式应用于行为配置文件的限制。
- 直接控制 - PHASR将收集所选类型的数据，并基于此创建建议并在控制台中显示。推荐的操作仅在手批准后才会执行。
保存您的策略。
如果您创建了新策略，请将其应用于部署该功能的终端：
1. 转到网络页面（通过左侧菜单）。
2. 选择您要应用策略的终端。
3. 在操作菜单中，选择 分配策略 .
4. 选择要应用的策略。
5. 点击完成 .
  
  注意
  
  更多信息请参阅此知识库文章 .
若您编辑了现有策略，请确保将其应用到部署该功能的所有终端。

这将确保功能已启用并根据您公司的需求进行最佳配置。

您可以通过 Bitdefender终端安全工具界面检查终端是否已启用PHASR模块。

管理PHASR建议

PHASR中的建议是基于观察到的用户和设备行为提出的安全措施。这些建议会指示是否应限制或允许访问特定工具类别，从而在动态适应用户行为变化的同时帮助减少攻击面。

PHASR激活且模块安装到终端后，学习阶段即开始。该阶段最短持续30天，最长可达60天（取决于规则严重性）。在此期间，PHASR通过分析用户和设备活动构建行为画像，并逐步开始生成建议。当检测到某些工具未被使用时，PHASR会生成'限制访问'建议以缩小攻击面。

重要说明

行为画像是通过用户与设备组合创建的独特配对。

行为画像示例：

约翰·多伊 - 台式机
约翰·多伊 - 笔记本电脑

凯莉·多伊 - 笔记本电脑1
凯莉·多伊 - 笔记本电脑2

初始学习阶段完成并生成建议后，PHASR会在后台持续学习，不断适应用户行为变化。

注意

根据可用历史数据量，PHASR可利用历史EDR数据缩短学习阶段时长——这意味着学习阶段可能缩短至数天或立即获得建议。

当PHASR检测到当前有权访问某些资产的用户行为发生变化时，将生成'限制访问'建议。生成该建议后，您可以查看相关行为画像并允许应用该建议。

要查看生成的建议并通过应用它们来减少攻击面，请前往 PHASR建议页面。

管理受监控规则

受监控规则是PHASR用于识别潜在攻击向量的机制，允许用户减少攻击面暴露。每条规则可生成多个建议。

要查看构成建议基础的规则，或手动应用/移除限制，请前往 PHASR受监控规则页面。

测试PHASR

测试PHASR请按以下步骤操作：

在GravityZone控制台中转到PHASR受监控规则。
选择PHASR目标活动类型中可用的进程，例如 teamviewer.exe .
点击“规则名称”列下的进程名称。将显示“规则详情”侧边面板。
选择“编辑访问权限”。
在编辑访问窗口中，于“行为配置文件”部分选择要限制访问的设备。
选择“编辑访问”以应用更改。
在选定设备上尝试访问先前受限的进程（如teamviewer.exe）。

当PHASR在特定终端阻止进程时，该限制会显示在Bitdefender终端安全工具界面中。此信息仅在进程实际尝试运行或访问资源时出现，且变更可能需要数秒甚至数分钟同步。

本节内容 :