Jak aplikace
Symantec Endpoint Protection
používá pokročilé strojové učení?

Jak pokročilé strojové učení funguje?
Modul pokročilého strojového učení (AML) určuje, zda je soubor dobrý nebo špatný prostřednictvím procesu učení. Funkce Symantec Security Response trénuje modul v rozpoznávání škodlivých atributů a definuje pravidla, která modul AML používá k provádějí zjištění. Společnost Symantec školí a testuje modul AML v laboratorním prostředí pomocí následujícího procesu:
  • Funkce LiveUpdate stáhne model AML do klienta a na několik dní ho spustí.
  • Modul AML se naučí, které aplikace klient spouští a u kterých dochází ke zneužívání prostřednictvím dat telemetrie klienta. Každý klientský počítač je součástí globální informační sítě, která vrací informace o modelu společnosti Symantec.
  • Společnost Symantec upravuje modely AML na základě toho, co se společnost Symantec dozví z dat telemetrie klientů.
  • Společnost Symantec upravuje model AML tak, aby blokoval aplikace, které zneužívají běžný útok.
AML je součástí modulu nástroje prověřování statických dat (SDS). Modul SDS zahrnuje emulátor, službu ITCS (Intelligent Threat Cloud Service) a modul definic CoreDef-3.
Symantec Endpoint Protection
využívá pokročilé strojové učení ve funkci Download Insight, SONAR a prověřování virů a spywaru, které všechny používají funkci Vyhledávání Insight ke zjišťování hrozeb.
Jak funguje AML s cloudem?
Společnost Symantec využívá službu ITCS (Intelligent Threat Cloud Service) k potvrzení správnosti detekce, kterou AML provádí v klientském počítači. Někdy může AML obrátit přesvědčení po kontrole ve službě ITCS. Když modul AML nepotřebuje funkci Symantec Insight, tato zpětná vazba umožní společnosti Symantec vycvičit algoritmy AML k omezení falešně pozitivních zjištění a zvýšení skutečně pozitivních. Když je počítač online, aplikace
Symantec Endpoint Protection
dokáže zastavit průměrně 99 % hrozeb.
Jak nakonfiguruji AML?
Pokročilé strojové učení nemůžete nakonfigurovat. Funkce LiveUpdate stahuje definice AML ve výchozím nastavení. Musíte však zajistit, aby byly povoleny následující technologie.
Postup zajišťující, že AML chrání klientské počítače
Úloha
Popis
Krok 1: Ověřte, zda je povolena možnost vyhledávání v cloudu
Dotazy, které AML provádí na funkci Symantec Insight se označují jako vyhledávání hodnocení, vyhledávání v cloudu nebo vyhledávání Insight. Pokud je vyhledávání Insight povoleno, detekce AML pro SONAR a prověřování virů a spywaru objeví menší počet falešně pozitivních případů.
Pro ověření povolení vyhledávání Insight zkontrolujte:
Navíc ověřte, zda je povoleno odesílání dat z klientů. Tyto informace pomáhají společnosti Symantec měřit a zlepšovat efektivitu technologií zjišťování.
Krok 2: Ujistěte se, zda je povoleno zjišťování Bloodhound.
Nastavte úroveň zjišťování Bloodhound na automatickou nebo agresivní.
Když modul AML narazí na určité vysoce rizikové soubory, klient automaticky aktivuje agresivnější prověřování.
V případě aktivace agresivnějšího režimu prověřování:
  • Prověřování se znovu spustí.
  • V klientovi se zobrazí následující oznámení:
    Spouštění agresivního prověřování, které využívá vyhledávání Insight k vyčištění počítače.
V agresivním režimu může být nutné dále spravovat falešně pozitivní položky.
Krok 3: ověřte, zda funkce LiveUpdate stahuje definice vysoké intenzity (14.0.1) (volitelné)
Funkce LiveUpdate vždy stahuje obsah AML.
Od verze 14.0.1 funkce LiveUpdate stahuje agresivnější sadu definic, které fungují společně se zásadami malé šířky pásma, které obdržíte z cloudu. Stahování obsahu AML prostřednictvím funkce LiveUpdate můžete zakázat.
Z funkce LiveUpdate do
Symantec Endpoint Protection Manager
:
Z
Symantec Endpoint Protection Manager
do klientů Windows:
Krok 4: Řešení falešně pozitivních položek
Řešení potíží pokročilého strojového učení
Protokoly a zprávy pro detekce pokročilého strojového učení jsou stejné jako pro další moduly SDS. Chcete-li si zobrazit zprávu s posledními hrozbami, spusťte hlášení rizik pro možnost
Zjištěná nová rizika v síti
.
Od verze 14.0.1 můžete spustit plánovanou zprávu pro zjištění AML. Na stránce
Zprávy
klikněte na položku
Plánované zprávy
>
Přidat
>
Stav počítače
>
Distribuce (statického) obsahu pokročilého strojového učení
. Aby se zpráva mohla zobrazit, musí být doména aplikace
Symantec Endpoint Protection Manager
zaregistrována v cloudové konzoli.