Como o
Symantec Endpoint Protection
usa a aprendizagem de máquina avançada?

Consulte os seguintes tópicos para obter mais informações:
Como funciona a aprendizagem de máquina avançada?
O mecanismo de aprendizagem de máquina avançada (AML, Advanced Machine Learning) determina se um arquivo é válido ou inválido por meio de um processo de aprendizagem. O Symantec Security Response treina o mecanismo para reconhecer atributos maliciosos e define as regras que o mecanismo AML usa para fazer detecções. A Symantec treina e testa o mecanismo AML em um ambiente de laboratório usando o seguinte processo:
  • O LiveUpdate faz o download do modelo AML para o cliente e o executa por vários dias.
  • O mecanismo AML aprende quais aplicativos o cliente executa e quais sofrem explorações usando os dados de telemetria do cliente. Cada computador-cliente faz parte de uma Global Intelligence Network que devolve informações sobre o modelo à Symantec.
  • A Symantec ajusta o modelo AML com base no que aprendeu com os dados de telemetria dos clientes.
  • A Symantec modifica o modelo AML para bloquear os aplicativos que normalmente são atacados por explorações.
O AML faz parte do mecanismo verificador de dados estáticos (SDS, Static Data Scanner). O mecanismo SDS inclui o emulador, o serviço em nuvem de inteligência sobre ameaças (ITCS, Intelligent Threat Cloud Service) e o mecanismo de definições CoreDef-3.
O
Symantec Endpoint Protection
usa aprendizagem de máquina avançada no Download Insight, no SONAR e nas verificações de vírus e spyware, e todos eles usam as Pesquisas do Insight para a detecção de ameaças.
Como o AML funciona com a nuvem?
A Symantec utiliza o serviço em nuvem de inteligência sobre ameaças (ITCS, Intelligent Threat Cloud Service) para confirmar se a detecção do AML no computador-cliente está correta. Às vezes, o AML poderá reverter a detecção depois de verificar com o ITCS. Embora o mecanismo AML não precise do Symantec Insight, esses comentários permitem que a Symantec treine os algoritmos do AML para reduzir falsos positivos e aumentar as detecções reais. Quando o computador está online, o
Symantec Endpoint Protection
pode impedir uma média de 99% das ameaças. Consulte:
Como posso configurar o AML?
Você não pode configurar a aprendizagem de máquina avançada. O LiveUpdate faz o download das definições do AML por padrão. No entanto, você precisa verificar se as tecnologias a seguir estão ativadas.
Etapas para garantir a proteção dos computadores-cliente pelo AML
Tarefa
Descrição
Etapa 1: Verificar se a disponibilidade de consultas na nuvem está ativada.
As consultas que o AML faz ao Symantec Insight são chamadas de consultas de reputação, consultas na nuvem ou Pesquisas do Insight. Se as Pesquisas do Insight estiverem ativadas, as detecções do AML para o SONAR e as verificações de vírus e spyware terão menos falsos positivos.
Para verificar se as Pesquisas do Insight estão ativadas, consulte:
Além disso, verifique se os envios do cliente estão ativados. Essas informações ajudam a Symantec a medir e melhorar a eficácia das tecnologias de detecção.Consulte:
Etapa 2: Verificar se as detecções Bloodhound estão ativadas.
Defina o nível de detecção Bloodhound como automático ou agressivo.Consulte:
Quando o mecanismo AML encontrar determinados arquivos de alto risco, o cliente automaticamente realizará uma verificação mais agressiva.
Quando o modo de verificação agressiva entrar em ação:
  • A verificação será reiniciada.
  • A seguinte notificação será exibida no cliente:
    Como executar uma verificação agressiva que usa as pesquisas do Insight para limpar seu computador.
No modo agressivo, talvez você precise gerenciar os falsos positivos.
Etapa 3: Verificar se o LiveUpdate faz o download das definições de alta intensidade (14.0.1) – opcional.
O LiveUpdate sempre faz os downloads de conteúdo do AML.
A partir da versão 14.0.1, o LiveUpdate faz o download de um conjunto de definições mais agressivo que funciona com a política de largura de banda baixa obtida na nuvem. É possível desativar o download de conteúdo do AML por meio do LiveUpdate.
No LiveUpdate para
Symantec Endpoint Protection Manager
, consulte:
No
Symantec Endpoint Protection Manager
para os clientes Windows, consulte:
Etapa 4: Controlar falsos positivos.
Solução de problemas de aprendizagem de máquina avançada
Os logs e relatórios das detecções de aprendizagem de máquina avançada são os mesmos dos outros mecanismos SDS. Para consultar um relatório com ameaças recentes, gere um relatório de risco para
Novos riscos detectados na rede
.
A partir da versão 14.0.1, é possível gerar um relatório agendado para as detecções de AML. Na página
Relatórios
, clique em
Relatórios agendados
>
Adicionar
>
Status do computador
>
Distribuição de conteúdo (estático) do aprendizado de máquina avançado
. O domínio do
Symantec Endpoint Protection Manager
precisa estar registrado no console na nuvem para que o relatório seja exibido.
Para obter mais informações, consulte: