跳至主内容

执行时检测

反恶意软件 > 执行时检测 策略部分中,您可以配置针对恶意进程执行时的防护。该功能包含以下保护层:

policy_antimalware_on_execute_cp_48196_en.png

注意

可采取的操作范围可能因当前订阅计划包含的许可证类型而异。

云端威胁检测

云端威胁检测技术通过运行基于云的机器学习算法识别高级威胁,同时确保实时更新。该技术通过降低本地磁盘占用和资源消耗,提升环境运行效率。

重要提示

此云扫描技术仅在端点安装的安全代理设置为 EDR (仅报告)模式时启用,适用于 Bitdefender EDR MSP独立版。

该技术包含两大核心组件:

  • 内容提取器 - 从您的环境中提取元数据并发送至云端处理。

  • 威胁检测器 - 接收来自 内容提取器 的元数据包,采用前沿机器学习和启发式算法分析信息,并根据分析结果生成检测报告。

    该组件无需直接访问文件、缓冲区、内存或操作系统文件,具有极小的磁盘占用且支持实时更新。

点击切换按钮启用 云端威胁检测 .

高级威胁控制

Bitdefender 高级威胁控制 是一种主动检测技术,通过高级启发式方法实时检测新型潜在威胁。

注意

该模块适用于:

  • 工作站版Windows

  • 服务器版Windows

  • macOS

  • Linux

高级威胁控制 持续监控终端上运行的应用程序,寻找类似恶意软件的行为。每个行为都会被评分,并为每个进程计算总体评分。当进程的总体评分达到给定阈值时,该进程将被视为有害。该模块会自动尝试对检测到的文件进行消毒处理。若消毒程序失败,文件将被删除。

注意

在执行消毒操作前,系统会将文件副本发送至隔离区,以便在误报情况下后续恢复文件。此操作可通过 执行消毒操作前将文件复制到隔离区 选项进行配置,该选项位于 反恶意软件 > 设置 策略设置选项卡中。策略模板中默认启用此选项。

对于Windows系统, 高级威胁控制 提供额外功能以保护关键注册表项(包括与安全账户管理器相关的注册表项),防止未经授权的访问或恶意注册表转储等利用行为。

配置 高级威胁控制 :

  1. 点击切换按钮启用 高级威胁控制 .

    警告

    若禁用 高级威胁控制 ,计算机将面临未知恶意软件的威胁。

  2. 高级威胁控制 检测到受感染应用程序的默认操作是 修复 .

    拦截

    • - 拒绝访问受感染的应用程序

    • 仅报告 - 仅报告由 Bitdefender .

  3. 点击最适合您需求的安全级别( 激进 , 普通 宽松 )。根据描述指引进行选择。

    随着防护等级的提高, 高级威胁控制 将需要更少的恶意软件行为迹象即可报告进程。这将导致更多应用程序被报告,同时误报率(将干净应用程序误判为恶意)也会上升。

    注意

    强烈建议为常用或已知应用程序创建排除规则,以避免误报(对合法应用程序的错误检测)。

    前往 反恶意软件 > 排除项 策略设置部分,或进入 配置配置文件 > 排除项 页面,为受信任应用程序配置ATC/IDS进程排除规则。

    您还可以通过 ATC/敏感注册表保护 选项,为执行必要注册表更改的受信任系统创建IP/掩码排除。

    configuration_profiles_exclusions_process_atc_sensitive_121664_en.png

  4. 敏感注册表保护 敏感注册表保护选项可保护关键注册表项,并确保对Windows终端上的用户认证数据与系统安全策略进行全面防护。

    您可设置以下任一动作为:

    • 终止进程 - 通过立即停止关联进程执行来阻止恶意注册表项转储。

    • 仅报告 - 报告恶意注册表项转储行为而不采取任何缓解措施。

  5. 内核API监控 选项 启用高级内核级监控功能,可检测异常系统行为,防范针对系统完整性的利用企图。该特性增强高级威胁控制在攻击链早期检测和缓解复杂攻击技术的能力,并防范利用漏洞驱动程序破坏安全解决方案的威胁。

    警告

    由于此功能涉及深度监控能力,建议先在受控环境中测试以评估其影响及与系统的兼容性。

无文件攻击防护

功能 默认设置为预执行阶段检测并拦截无文件恶意软件,包括终止运行恶意命令行的PowerShell、阻断恶意流量、分析代码注入前的内存缓冲区,以及阻止代码注入过程。

您可按如下方式配置:

  • 命令行扫描器 在预执行阶段检测无文件攻击。

  • 反恶意软件扫描接口安全提供程序 通过集成Windows反恶意软件扫描接口(AMSI)进行更深层内容扫描。脚本、文件、URL等内容在被访问、运行或写入磁盘前,会由需要安全分析的不同服务发送至该模块。此外,您可控制是否将 反恶意软件 模块分析结果进一步上报至AMSI服务。

注意

本模块适用于:

  • 工作站版Windows

  • 服务器版Windows

勒索软件缓解

功能 采用检测与修复技术保护数据免受勒索软件攻击。无论勒索软件已知或新型, GravityZone 均可检测异常加密尝试并阻断进程,随后从备份副本恢复文件至原始位置。

要求

重要提示

勒索软件缓解 需要 高级威胁控制 和实时扫描功能(需将终端安装的安全代理设置为 检测与防护 模式)。

有关支持的操作系统和磁盘空间要求的信息,请参阅 勒索软件缓解 .

行为

文件监控 :除用户临时文件夹 c:\Users\{name}\AppData\Local\Temp\ 外,整个系统均受监控。关于被监控文件类型的信息,请参阅 勒索软件缓解 .

备份流程 :当可疑进程尝试修改文件时触发备份。备份文件保留期为30天。文件成功恢复后,其备份将从存储中删除。

注意

仅支持对15MB或更小体积的文件进行备份。

恢复文件的命名规则 :文件将恢复至原始位置,与加密版本并列存放。恢复文件的命名遵循以下模式: 原文件名-恢复.原扩展名 。若目标目录已存在同名文件,则命名规则变更为 原文件名–恢复(2).原扩展名 .

针对远程攻击的IP封锁 :发生远程攻击时,相关IP将被封锁两小时或直至系统重启。

配置

配置方法 勒索软件缓解功能 :

  1. 点击切换按钮启用 勒索软件缓解功能 .

  2. 选择需要使用的监控模式:

    • 本地监控 - GravityZone 会监控进程并检测终端本地发起的勒索软件攻击。建议在工作站启用。服务器端启用需谨慎,可能影响性能。

    • 远程监控 - GravityZone 会监控网络共享路径的访问,检测从其他机器发起的勒索软件攻击。若终端是文件服务器或启用了网络共享,请使用此选项。

  3. 选择恢复方式:

    • 按需恢复 - 您可手动选择需要恢复文件的攻击事件。可通过 报告 > 勒索软件活动 页面随时操作(建议在攻击发生后30天内完成,逾期将无法恢复)。

    • 自动恢复 - GravityZone 在检测到勒索软件后立即自动恢复文件。

    注意:终端在线是恢复成功的必要条件。

  4. 选择 EFS保护 该技术通过防止勒索软件未经授权的访问、加密篡改或文件锁定,保护Windows系统中加密文件系统数据免受攻击。

监控

启用后,您可通过多种方式检查网络是否遭受勒索软件攻击:

  • 查看通知并寻找 勒索软件检测 .

    有关此通知的详细信息,请参阅 通知类型 .

  • 检查 报告 部分。

    • 安全审计 报告显示有关远程勒索软件攻击的信息。

    • 勒索软件活动 报告呈现与本地及远程攻击相关的数据。在此页面中,您还可根据需要启动恢复任务。

若发现检测到的实为合法加密进程,或需允许特定路径的文件加密及特定机器的远程访问,请将排除项添加至 反恶意软件 > 自定义排除项 策略部分。 勒索软件缓解 支持对文件夹、进程及IP/掩码设置排除项。

本节包含 :