跳至主内容

执行时检测

反恶意软件 > 执行时检测 策略部分,您可以配置针对恶意进程执行时的防护措施。该功能涵盖以下保护层:

policy_antimalware_on_execute_cp_48196_en.png

注意

可采取的操作范围可能因当前订阅计划包含的许可证类型而异。

云端威胁检测

云端威胁检测技术通过运行基于云的机器学习算法识别高级威胁,同时确保实时更新。该技术通过降低本地磁盘占用和资源消耗来提高环境效率。

重要提示

此云端扫描技术仅在端点安装的安全代理设置为 终端检测与响应 (仅报告)模式下的 Bitdefender 终端检测与响应 独立版(MSP适用)。

该技术由两大核心组件构成:

  • 内容提取器 - 从您的环境中提取元数据并上传至云端进行处理。

  • 威胁检测器 - 接收来自 内容提取器 的元数据包,运用前沿机器学习和启发式算法进行分析,并根据结果生成检测报告。

    该组件无需直接访问文件、缓冲区、内存或操作系统文件,占用磁盘空间极小且支持实时更新。

点击开关启用 云端威胁检测 .

高级威胁控制

Bitdefender 高级威胁控制 是一种主动检测技术,通过高级启发式方法实时检测新型潜在威胁。

注意

该模块适用于:

  • 工作站版Windows

  • 服务器版Windows

  • macOS

  • Linux

高级威胁控制 持续监控终端运行的应用程序,检测类恶意行为。每个行为会被评分,并计算每个进程的综合评分。当进程评分达到设定阈值时,该进程将被判定为恶意。模块将自动尝试清除受感染文件,若清除失败则删除该文件。

注意

执行清除操作前,文件副本会发送至隔离区以便误报时恢复。此操作可通过 在应用杀毒操作前将文件副本发送至隔离区 选项位于 反恶意软件 > 设置 策略设置选项卡中。该选项在策略模板中默认启用。

对于Windows系统, 高级威胁控制 提供额外功能以保护关键注册表项(包括与安全账户管理器相关的注册表项),防止未经授权的访问或恶意注册表项转储等利用行为。

配置 高级威胁控制 :

  1. 点击切换按钮启用 高级威胁控制 .

    警告

    若禁用 高级威胁控制 ,计算机将面临未知恶意软件的威胁。

  2. 高级威胁控制 检测到受感染应用程序的默认操作为 修复 .

    阻止

    • - 禁止访问受感染的应用程序。 仅报告

    • - 仅报告由 Bitdefender 检测到的受感染应用程序。 .

  3. 激进模式 , 标准模式 宽松模式 )。请根据描述指引选择适合的级别。

    防护等级设置越高时, 高级威胁控制 对进程的恶意行为特征判定标准会越宽松,这将导致更多应用程序被报告为可疑,同时误报率(将正常程序误判为恶意)也会相应上升。

    注意

    强烈建议为常用或已知应用程序创建排除规则,以避免误报(对合法程序的错误检测)。

    请前往策略设置中的 反恶意软件 > 排除项 模块,或进入 配置档案 > 排除项 页面,为受信任应用程序配置ATC/IDS进程排除规则。

    您还可以通过 ATC/敏感注册表保护 选项,为需要进行必要注册表变更的受信任系统创建IP/掩码排除规则。

    configuration_profiles_exclusions_process_atc_sensitive_121664_en.png

  4. 敏感注册表保护 功能可保护关键注册表键值,确保Windows终端上的用户认证数据与系统安全策略获得全面防护。

    您可设置以下任一处置动作:

    • 终止进程 - 通过立即终止关联进程执行来阻止恶意注册表键值转储。

    • 仅报告 - 报告恶意注册表键转储行为但不采取任何缓解措施。

  5. 内核API监控 选项启用高级内核级监控功能,可检测异常系统行为,防范针对系统完整性的利用企图。该特性增强高级威胁控制在攻击链早期检测和缓解复杂攻击技术的能力,并防止威胁利用易受攻击的驱动程序破坏安全解决方案。

    警告

    由于此功能具备深度监控能力,建议先在受控环境中测试以评估其影响及与系统的兼容性。

无文件攻击防护

无文件攻击防护 默认设置为在预执行阶段检测并阻断无文件恶意软件,包括终止运行恶意命令行的PowerShell、阻断恶意流量、分析代码注入前的内存缓冲区以及阻断代码注入过程。

可进行如下配置:

  • 命令行扫描器 在预执行阶段检测无文件攻击。

  • 反恶意软件扫描接口安全提供程序 通过集成Windows反恶意软件扫描接口(AMSI)进行更深层内容扫描。脚本、文件、URL等内容在被访问、运行或写入磁盘前,会由需要安全分析的不同服务发送至该模块。此外,您还可控制是否将 反恶意软件 模块分析结果进一步上报至AMSI服务。

注意

该模块适用于:

  • 工作站版Windows

  • 服务器版Windows

勒索软件缓解

勒索软件缓解 采用检测与修复技术保护数据免受勒索软件攻击。无论勒索软件已知或新型, GravityZone 均可检测异常加密尝试并阻断进程,随后从备份副本恢复文件至原始位置。

要求

重要

勒索软件缓解 需要 高级威胁控制 以及访问时扫描功能(当终端安装的安全代理设置为 检测与防护 模式时可用)。

有关支持的操作系统及磁盘空间要求的信息,请参阅 勒索软件缓解措施 .

行为

文件监控 。除用户的临时文件夹 c:\Users\{name}\AppData\Local\Temp\ 外,整个系统均受监控。关于被监控文件类型的信息,请参考 勒索软件缓解措施 .

备份流程 。当可疑进程尝试修改文件时即触发备份流程。备份文件保留期为30天。文件成功还原后,其备份将从存储中删除。

注意

仅支持对大小在15 MB及以下的文件进行备份。

还原文件的命名规则 。文件将被还原至原始位置,与加密版本并列存放。还原文件的命名规则如下: 原文件名-已还原.原扩展名 。若目标目录中已存在同名文件,则命名规则变更为 原文件名–已还原(2).原扩展名 .

针对远程攻击的IP封锁 。发生远程攻击时,相关IP将被封锁两小时或直至系统重启。

配置

要配置 勒索软件缓解措施 :

  1. 点击切换按钮启用 勒索软件防护 .

  2. 选择要使用的监控模式:

    • 本地监控 - GravityZone 会监控进程并检测终端上本地发起的勒索软件攻击。建议在工作站上启用。由于性能影响,在服务器上使用需谨慎。

    • 远程监控 - GravityZone 会监控对网络共享路径的访问,检测从其他机器发起的勒索软件攻击。若终端是文件服务器或启用了网络共享,请选择此选项。

  3. 选择恢复方式:

    • 按需恢复 - 您需手动选择要从哪些攻击中恢复文件。可通过 报告 > 勒索软件活动 页面随时操作(最迟不超过攻击发生后30天)。超过时限后将无法恢复。

    • 自动恢复 - GravityZone 会在检测到勒索软件后立即自动恢复文件。

    成功恢复需确保终端在线。

  4. 启用 EFS保护 。该技术通过防止勒索软件未经授权访问、篡改加密或锁定文件,保护Windows系统上的加密文件系统数据。

监控

启用后,您可通过以下方式检查网络是否遭受勒索软件攻击:

  • 查看通知并留意 勒索软件检测 .

    有关此通知的更多信息,请参阅 通知类型 .

  • 检查 报告 部分。

    • 安全审计 报告显示有关远程勒索软件攻击的信息。

    • 勒索软件活动 报告列出了与本地和远程攻击相关的数据。在此页面中,您还可以根据需要启动恢复任务。

如果您发现检测到的是合法的加密过程,或者允许某些路径进行文件加密,或允许来自特定机器的远程访问,请将排除项添加到 反恶意软件 > 自定义排除项 策略部分。 勒索软件缓解 允许对文件夹、进程和IP/掩码进行排除。

在本节中 :