Wie nutzt
Symantec Endpoint Protection
Advanced Machine Learning?

Wie funktioniert Advanced Machine Learning?
Die Advanced Machine Learning (AML) Engine ermittelt anhand eines Lernprozesses, ob eine Datei gut- oder bösartig ist. Symantec Security Response schult die Engine auf das Erkennen von bösartigen Attributen und definiert die Regeln, auf deren Basis AML Entscheidungen trifft. Symantec schult und testet die AML Engine in einer Laborumgebung folgendermaßen:
  • LiveUpdate lädt das AML-Modell auf den Client herunter und führt es einige Tage lang aus.
  • Die AML Engine lernt anhand der Telemetriedaten des Clients, welche Anwendungen der Client ausführt, die oft Ziel von Exploits sind. Jeder Clientcomputer ist Teil des Global Intelligence Network, das Informationen zum Modell an Symantec liefert.
  • Symantec passt das AML-Modell basierend auf die Informationen aus den Telemetriedaten der Clients an.
  • Symantec ändert das AML-Modell, um häufig angegriffene Anwendungen zu blockieren.
AML ist Teil der SDS Engine (Static Data Scanner). Die SDS Engine enthält den Emulator, den Intelligent Threat Cloud Service (ITCS) und die CoreDef-3-Definitionen-Engine.
Symantec Endpoint Protection
verwendet Advanced Machine Learning in Download-Insight, SONAR sowie Viren- und Spyware-Scans. Sie alle verwenden die Insight-Suche für die Bedrohungserkennung.
Wie arbeitet AML mit der Cloud zusammen?
Symantec nutzt den Intelligent Threat Cloud Service (ITCS), um zu überprüfen, ob die Erkennung von AML auf dem Clientcomputer korrekt ist. Manchmal kann AML nach der Prüfung durch ITCS die Erkennung noch umkehren. Während die AML Engine Symantec Insight nicht benötigt, ermöglicht das Feedback die Schulung der AML-Algorithmen zur Reduzierung von Falschmeldungen und der Erhöhung von tatsächlichen Erkennungen. Wenn der Computer online ist, kann
Symantec Endpoint Protection
durchschnittlich 99 % der Bedrohungen blockieren.
Wie konfiguriere ich AML?
Advanced Machine Learning lässt sich nicht konfigurieren. LiveUpdate lädt die AML-Definitionen standardmäßig herunter. Sie müssen jedoch sicherstellen, dass folgende Funktionen aktiviert sind.
Gewährleisten, dass AML Clientcomputer schützt
Aufgabe
Beschreibung
Schritt 1: Sicherstellen, dass die Cloud-Suche aktiviert ist
Die Abfragen von AML an Symantec Insight werden Reputations-, Cloud- oder Insight-Suche genannt. Ist die Insight-Suche aktiviert, gibt es weniger Falschmeldungen der AML für SONAR- sowie Viren- und Spyware-Scans.
Info zum Prüfen, ob die Insight-Suche aktiviert ist, finden Sie hier:
Stellen Sie außerdem sicher, dass Clientübertragungen aktiviert sind. Diese Informationen helfen Symantec, die Wirksamkeit von Erkennungsfunktionen zu messen und zu verbessern.
Schritt 2: Sicherstellen, dass Bloodhound-Erkennungen aktiviert sind
Setzen Sie die Bloodhound-Erkennungsstufe auf automatisch oder aggressiv.
Wenn die AML Engine bestimmte Dateien mit hohem Risiko erkennt, aktiviert der Client automatisch einen aggressiveren Scan.
Bei Aktivierung des aggressiven Scanmodus:
  • Der Scan wird neu gestartet.
  • Folgende Benachrichtigung erscheint auf dem Client:
    Ausführen eines aggressiven Scans, der den Computer anhand von Insight-Lookups bereinigt.
Im Aggressivmodus müssen Sie möglicherweise die Falschmeldungen zusätzlich verwalten.
Schritt 3: Sicherstellen, dass LiveUpdate Definitionen mit hoher Intensität (14.0.1.) herunterlädt (optional)
LiveUpdate lädt immer AML-Content herunter.
Ab Version 14.0.1 lädt LiveUpdate einen aggressiveren Satz Definitionen herunter, der mit der Richtlinie für niedrige Bandbreite aus der Cloud funktioniert. Sie können das Herunterladen von AML-Content über LiveUpdate deaktivieren.
Von LiveUpdate zu
Symantec Endpoint Protection Manager
:
Von
Symantec Endpoint Protection Manager
zu den Windows-Clients:
Schritt 4: Verarbeiten von Falschmeldungen
Fehlerbehebung für Advanced Machine Learning
Die Protokolle und Berichte für AML-Erkennungen sind die gleichen wie bei anderen SDS Engines. Um einen Bericht mit aktuellen Bedrohungen anzuzeigen, führen Sie einen Risikobericht für "
Neue im Netzwerk erkannte Risiken
" aus.
Wie bei 14.0.1 können Sie einen geplanten Bericht für AML-Erkennungen ausführen. Auf der Seite "
Berichte
" klicken Sie auf "
Geplante Berichte
>
Hinzufügen
>
Computerstatus
>
Verteilung von Advanced Machine Learning-Content (Statisch)
". Die Domäne
Symantec Endpoint Protection Manager
muss in der Cloud-Konsole angemeldet sein, damit der Bericht angezeigt wird.