高级威胁控制

对于能逃过启发式引擎检测的威胁，系统还配备了另一层防护机制—— 高级威胁控制 ( ATC ).

高级威胁控制持续监控运行进程，并对可疑行为进行分级评估，例如：伪装进程类型、在其它进程空间执行代码（劫持进程内存以提权）、自我复制、释放文件、躲避进程枚举应用程序检测等。每种可疑行为都会提升进程风险评级。当达到阈值时，将触发警报。

组件

高级威胁控制采用以下组件：

在终端上安装此功能存在三种可能场景：

使用 重新配置代理 任务添加模块：

创建安装包：

策略用于在终端及通用功能层面启用和配置各项功能。

GravityZone 提供一组默认策略设置，这些设置经过专门定制以满足最常见的客户需求。默认情况下，这些策略会在安装 BEST 代理后应用于终端。您无法修改或删除默认的 GravityZone 策略。

您可以使用这些默认策略设置并暂缓配置策略，或通过以下步骤自定义功能：

这将确保功能已启用，并按您公司的需求完成最佳配置。

您可通过以下流程测试 ATC ：

该应用程序将触发 ATC 该功能将阻止其启动。

终端上的代理日志将显示类似以下内容：

高级威胁控制已对检测为恶意的进程启动消毒操作。进程路径：C:\Users\User\Downloads\x64\Release\AtcPocDetection.exe。威胁名称：ATC.SuspiciousBehavior.558724252A537866。

您还可以通过访问 GravityZone 控制中心并运行报告任务来查找与此检测相关的记录。

高级威胁控制持续监控终端上运行的应用程序，寻找类似恶意软件的行为。每个行为都会被评分，并为每个进程计算总分。当进程的总分达到给定阈值时，该进程将被视为有害。高级威胁控制将自动尝试对检测到的文件进行消毒。如果消毒程序失败，高级威胁控制将删除该文件。

在应用消毒操作之前，文件的副本会被发送到隔离区，以便在误报情况下您可以稍后恢复该文件。此操作可以通过使用 在应用消毒操作前将文件复制到隔离区 选项进行配置，该选项位于 反恶意软件 > 设置策略设置的标签页中。此选项在策略模板中默认启用。

您可以通过访问 隔离区 页面找到所有被隔离的文件。

您还可以从以下报告中获取该功能的活动信息：

更多信息请参阅报告类型 .

门户组件为您提供来自环境的安全事件信息。您可以自定义门户组件并创建自己的组件，指定您希望监控的防护机制以及您希望在数据中看到的时间间隔。

有关如何创建和管理门户组件的信息，请参阅仪表板 .

控制台提供的每种报告类型都有一个对应的门户组件。

本节内容 :