跳至主内容

执行时检测

反恶意软件 > 执行时检测 策略模块中,可配置针对恶意进程执行时的防护措施,其包含以下防护层:

policy_antimalware_on_execute_cp_48196_en.png

注意

可采取的操作范围可能因当前订阅计划包含的许可证类型而异。

云端威胁检测

云端威胁检测技术通过运行基于云端的机器学习算法识别高级威胁,同时确保实时更新。该技术通过降低本地磁盘占用和资源消耗来提高环境效率。

重要提示

此云扫描技术仅在端点安装的安全代理设置为 EDR (仅报告)模式时使用,适用于 Bitdefender EDR MSP独立版。

该技术包含两大核心组件:

  • 内容提取器 - 从您的环境中提取元数据并发送至云端进行处理。

  • 威胁检测器 - 接收来自 内容提取器 的元数据包,采用最先进的机器学习和启发式算法分析信息,并根据分析结果生成检测报告。

    该组件无需直接访问文件、缓冲区、内存或操作系统文件,具有较小的磁盘占用空间且支持实时更新。

点击切换开关启用 云端威胁检测 .

高级威胁防护

Bitdefender 高级威胁防护 是一项主动检测技术,通过高级启发式方法实时检测新的潜在威胁。

注意

该模块适用于:

  • 工作站版Windows

  • 服务器版Windows

  • macOS

  • Linux

高级威胁防护 持续监控终端上运行的应用程序,寻找类似恶意软件的行为。每个行为都会被评分,并为每个进程计算综合评分。当进程的综合评分达到给定阈值时,该进程将被判定为有害。模块将自动尝试清除检测到的文件。若清除失败,文件将被删除。

注意

执行清除操作前,文件副本会发送至隔离区,以便在误报情况下后续恢复。该操作可通过 执行清除操作前将文件复制到隔离区 选项进行配置,该选项位于 反恶意软件 > 设置 策略设置标签页。策略模板中此选项默认启用。

对于Windows系统, 高级威胁防护 提供额外功能保护关键注册表项(包括与安全账户管理器相关的注册表项),防止未授权访问或恶意注册表转储等利用行为。

配置 高级威胁防护 :

  1. 点击开关启用 高级威胁防护 .

    警告

    若禁用 高级威胁防护 ,计算机将面临未知恶意软件的威胁。

  2. 对于 高级威胁防护 检测到的受感染应用程序,默认操作为 修复 .

    您可以通过以下菜单设置其他默认操作:

    • 拦截 - 拒绝访问受感染的应用程序。

    • 仅报告 - 仅报告由 Bitdefender .

  3. 点击最适合您需求的安全级别( 激进 , 普通 宽松 )。参考描述来指导您的选择。

    随着防护等级的提高, 高级威胁防护 将需要更少的恶意行为迹象即可报告进程。这将导致更多应用程序被报告,同时误报(将清洁应用程序检测为恶意)的可能性也会增加。

    注意

    强烈建议为常用或已知应用程序创建排除规则,以防止误报(错误检测合法应用程序)。

    前往 反恶意软件 > 排除项 部分进行策略设置,或进入 配置配置文件 > 排除项 页面,为受信任应用程序配置ATC/IDS进程排除规则。

    您还可以使用 ATC/敏感注册表保护 选项,为执行必要注册表更改的可信系统创建IP/掩码排除项。

    configuration_profiles_exclusions_process_atc_sensitive_121664_en.png

  4. 敏感注册表保护 选项可保护关键注册表项,确保Windows终端上的用户认证数据与系统安全策略获得全面防护。

    可设置以下操作之一:

    • 终止进程 - 通过立即停止关联进程执行,阻断恶意注册表键转储行为。

    • 仅报告 - 报告恶意注册表键转储行为但不采取缓解措施。

  5. 内核API监控 选项 提供高级内核级监控能力,可检测异常系统行为,防范针对系统完整性的利用尝试。该特性增强高级威胁防护在攻击链早期检测和缓解复杂攻击技术的能力,并防止威胁利用漏洞驱动程序破坏安全解决方案。

    警告

    由于此功能涉及深度监控,建议先在受控环境中测试其影响及系统兼容性。

无文件攻击防护

无文件攻击防护 默认配置为预执行阶段检测并阻断无文件恶意软件,包括终止运行恶意命令行的PowerShell、阻断恶意流量、分析代码注入前的内存缓冲区以及阻断代码注入过程。

可进行如下配置:

  • 命令行扫描器 在预执行阶段检测无文件攻击。

  • 反恶意软件扫描接口安全提供程序 通过集成Windows反恶意软件扫描接口(AMSI)进行深度内容扫描。脚本、文件、URL等内容在被访问、运行或写入磁盘前,会由需要安全分析的不同服务发送检测。此外,您可控制是否将 反恶意软件 模块分析结果进一步上报至AMSI服务。

注意

本模块适用于:

  • 工作站版Windows

  • 服务器版Windows

勒索软件防护

勒索软件防护 采用检测与修复技术保护数据免受勒索软件攻击。无论勒索软件已知或新型, GravityZone 均可检测异常加密行为并阻断进程,随后从备份副本中恢复文件至原始位置。

系统要求

重要说明

勒索软件防护 需启用 高级威胁防护 与实时扫描功能,该功能需将终端安全代理设置为 检测与防护 模式运行。

支持的操作系统及磁盘空间要求详见 勒索软件防护 .

运行机制

文件监控 :监控范围覆盖整个系统(用户临时文件夹 c:\Users\{name}\AppData\Local\Temp\ 除外)。受监控文件类型信息参见 勒索软件防护 .

备份流程 :当可疑进程尝试修改文件时触发备份。备份文件保留期为30天,文件成功还原后其备份将从存储中删除。

注意

仅支持15MB及以下大小的文件备份。

还原文件命名规则 :文件将还原至原始位置(与加密版本并存)。还原文件命名遵循以下格式: OriginalName-Restored.OriginalExtension 若目标目录中已存在同名文件,则命名规则将变更为 原文件名-恢复(2).原扩展名 .

针对远程攻击的IP封锁 。发生远程攻击时,系统将实施两小时的IP封锁,或直至系统重启为止。

配置

配置 勒索软件防护 :

  1. 点击切换按钮启用 勒索软件防护 .

  2. 选择需要使用的监控模式:

    • 本地监控 - GravityZone 监控进程并检测终端本地发起的勒索软件攻击。建议在工作站使用。由于可能影响性能,在服务器上需谨慎启用。

    • 远程监控 - GravityZone 监控网络共享路径的访问,检测从其他机器发起的勒索软件攻击。若终端为文件服务器或启用了网络共享,请选择此选项。

  3. 选择恢复方式:

    • 按需恢复 - 您可手动选择需要恢复文件的攻击事件。可通过 报告 > 勒索软件活动 页面随时操作,但最迟不超过攻击发生后的30天。逾期后将无法恢复。

    • 自动恢复 - GravityZone 在检测到勒索软件后立即自动恢复文件。

    要成功恢复,终端设备需保持在线状态。

  4. 选择 EFS保护 。该技术通过防止未经授权的访问、加密篡改或勒索软件的文件锁定,保护Windows系统上的加密文件系统数据免受攻击。

监控

启用后,您可通过多种方式检查网络是否遭受勒索软件攻击:

  • 查看通知并留意 勒索软件检测 .

    有关此通知的更多信息,请参阅 通知类型 .

  • 检查 报告 部分。

    • 安全审计 报告显示有关远程勒索软件攻击的信息。

    • 勒索软件活动 报告展示与本地和远程攻击相关的数据。在此页面中,您还可以根据需要启动恢复任务。

若您发现检测到的实为合法加密进程,或存在允许文件加密的特定路径,或允许特定机器的远程访问,请将排除项添加至 反恶意软件 > 自定义排除项 策略部分。 勒索软件缓解 允许对文件夹、进程和IP/掩码设置排除项。

在本部分 :