终端传感器
Bitdefender终端安全工具 可作为 沙盒分析器 的Windows终端数据采集传感器
要配置通过终端传感器自动提交样本,请参阅以下章节:
-
在 连接设置 中,选择以下选项之一:
-
使用云端 沙盒分析器 - 终端传感器会将样本提交至 沙盒分析器 实例(由 Bitdefender 托管,具体取决于您所在地区)
-
使用本地 沙盒分析器 实例 - 终端传感器会将样本提交至 本地沙盒分析器 实例。请从下拉菜单中选择首选 沙盒分析器 实例。
若您的网络位于代理服务器或防火墙后方,可通过勾选 沙盒分析器 中的 使用代理配置 复选框来配置代理连接。
需填写以下字段:
-
服务器 - 代理服务器的IP地址。
-
端口 - 连接代理服务器所用端口。
-
用户名 - 代理服务器认可的用户名。
-
密码 - 指定用户的有效密码。
沙盒分析器 支持通过具有中继角色的终端提交本地文件,这些终端可连接不同区域的 沙盒分析器 门户地址。有关中继配置的详细信息,请参阅 中继 .
注意
在 沙盒分析器 连接设置将覆盖所有具有中继角色的端点。
-
-
选中 从托管端点自动提交样本 复选框以启用将可疑文件自动提交至 沙盒分析器 。如需手动提交样本,请参阅 手动提交 .
重要提示
-
沙盒分析器 需启用实时扫描功能。请确保已启用 反恶意软件 > 实时防护 模块。
-
沙盒分析器 采用与 反恶意软件 > 实时防护 中定义相同的目标及排除项。配置 实时防护 扫描设置时,请仔细检查 沙盒分析器 .
-
为避免误报(错误检测合法应用程序),可按文件名、扩展名、路径等多种条件定义排除项。有关排除项的更多信息,请参阅 配置配置文件 > 排除项 .
除 反恶意软件 章节定义的排除项外,您也可在本页面 例外 字段中指定,具体说明见下文。
-
任何文件或压缩包的上传限制为50 MB。
-
-
选择 分析模式 。提供两种选项:
-
监控模式 。用户可在沙箱分析期间访问文件,但建议在收到分析结果前不要执行该文件。
-
拦截模式 。在分析结果通过 沙箱分析器 集群经由 沙箱分析器 门户返回终端前,用户无法执行该文件。
-
-
指定 修复措施 。当 沙箱分析器 检测到威胁时执行这些措施。每种分析模式均提供双重设置,包含一个默认操作和一个备用操作。 沙箱分析器 会先执行默认操作,若无法完成则执行备用操作。
首次访问此部分时,可选用以下预设配置:
-
在 监控模式 下,默认操作为 仅报告 ,且禁用备用操作。
-
在 拦截模式 下,默认操作为 隔离 ,而备用操作为 删除 .
注意
作为最佳实践,建议在此配置中使用修复操作。
沙盒分析器 提供以下修复操作:
-
清除 。该操作会从受感染文件中移除恶意代码。
-
删除 。该操作会从磁盘中彻底移除检测到的文件。
-
隔离 。该操作将检测到的文件从当前位置移至隔离文件夹。被隔离的文件无法执行或打开,从而消除感染风险。您可以在 隔离 页面中管理隔离文件,该页面位于 控制中心 .
-
仅报告 . 沙盒分析器 仅报告检测到的威胁,而不对其采取任何其他操作。
注意
根据默认操作的不同,备用操作可能不可用。
-
-
在 内容预过滤 下,可自定义针对潜在威胁的防护级别。终端传感器内置内容过滤机制,用于判断可疑文件是否需要在 沙盒分析器 .
支持的对象类型包括:应用程序、文档、脚本、压缩包、电子邮件。有关支持对象类型的更多详情,请参阅 内容预过滤在自动提交时支持的文件类型 .
使用威胁列表顶部的总开关为所有对象类型选择统一的防护级别,或单独设置不同级别以精细调整防护策略。
将模块设置为特定级别将导致提交样本数量的变化:
-
宽松模式 。终端传感器仅自动提交 沙盒分析器 高概率恶意对象,其余对象将被忽略。
-
标准模式 。终端传感器在提交与忽略对象间取得平衡,向 沙盒分析器 发送高概率和低概率恶意对象。
-
激进模式 。终端传感器向 沙盒分析器 提交几乎所有对象,无论其潜在风险如何。
例外设置 。在此字段中,可定义不希望提交至 沙盒分析器 .
文件大小 。通过勾选对应复选框并输入1KB至50MB间的任意值,可设定提交对象的体积限制。
-
-
在 引爆配置文件 下调整行为分析复杂度级别,同时影响 沙盒分析器 吞吐量。例如若设为 高 , 沙盒分析器 将在相同时间内对较少样本执行更精确分析,相比 中 或 低 .