¿Cómo
Symantec Endpoint Protection
usa el aprendizaje automático avanzado?

Consulte los temas siguientes para obtener más información:
¿Cómo funciona el aprendizaje automático avanzado?
El motor de aprendizaje automático avanzado (AML, Advanced Machine Learning) determina si un archivo es de confianza mediante un proceso de aprendizaje. Symantec Security Response prepara al motor de AML para que reconozca atributos maliciosos y define las reglas que usa para realizar las detecciones. Symantec prepara al motor de AML y lo prueba en un entorno de práctica mediante el siguiente proceso:
  • LiveUpdate descarga el modelo de AML en el cliente y se ejecuta durante varios días.
  • El motor de AML aprende cuáles son las aplicaciones que el cliente ejecuta y son atacadas a partir de los datos de telemetría del cliente. Cada equipo cliente forma parte de una red de inteligencia global que recopila y envía información sobre el modelo a Symantec.
  • Symantec ajusta el modelo de AML en función de lo que aprende de los datos de telemetría del cliente.
  • Symantec modifica el modelo de AML para bloquear las aplicaciones que, por lo general, atacan los puntos vulnerables.
AML forma parte del motor del analizador de datos estáticos (SDS, Static Data Scanner). El motor de SDS incluye el emulador, Intelligent Threat Cloud Service (ITCS) y el motor de definiciones CoreDef-3.
Symantec Endpoint Protection
usa el aprendizaje automático avanzado en Diagnóstico Insight de descargas, SONAR y los análisis antivirus y antispyware, los cuales usan las búsquedas Insight para detectar amenazas.
¿Cómo funciona AML con la nube?
Symantec utiliza Intelligent Threat Cloud Service (ITCS) para confirmar si lo que detecta AML en el equipo cliente es correcto. A veces, AML puede revertir la condena después de comprobarla con ITCS. Si bien el motor de AML no necesita la tecnología Symantec Insight, esta devolución le permite a Symantec preparar a los algoritmos de AML de modo que disminuyan los falsos positivos y aumenten los verdaderos positivos. Cuando el equipo está en línea,
Symantec Endpoint Protection
puede detener, en promedio, el 99 % de las amenazas. Consulte:
¿Cómo se configura AML?
No es posible configurar el aprendizaje automático avanzado. LiveUpdate descarga las definiciones de AML de forma predeterminada. Sin embargo, es necesario asegurarse de tener habilitadas las siguientes tecnologías.
Pasos para asegurarse de que AML proteja a los equipos cliente
Tarea
Descripción
Paso 1: Asegúrese de que la búsqueda en la nube esté disponible.
Las consultas que le hace AML a Symantec Insight se denominan búsquedas de reputación, búsquedas en la nube o búsquedas Insight. Si las búsquedas Insight están habilitadas, las detecciones de AML para SONAR y los análisis antivirus y antispyware devuelven menos falsos positivos.
Para verificar que las búsquedas Insight estén habilitadas, consulte lo siguiente:
Además, asegúrese de que los envíos del cliente estén habilitados. Esta información ayuda a Symantec a medir y mejorar la eficacia de las tecnologías de detección.Consulte:
Paso 2: Asegúrese de que las detecciones Bloodhound estén habilitadas.
Configure el nivel de detección Bloodhound en Automático o Intenso.Consulte:
Cuando el motor de AML encuentra determinados archivos de alto riesgo, el cliente emplea automáticamente un análisis más intenso.
Cuando se emplea el modo intenso de análisis:
  • Se reinicia el análisis.
  • Aparece la siguiente notificación en el cliente:
    Running an aggressive scan that uses Insight lookups to clean your computer. (Se está ejecutando un análisis intenso que usa búsquedas Insight para limpiar el equipo).
En el modo intenso, es posible que deba administrar aún más los falsos positivos.
Paso 3: Asegúrese de que LiveUpdate descargue las definiciones de alta intensidad (versión 14.0.1) (opcional).
LiveUpdate siempre descarga contenido de AML.
A partir de la versión 14.0.1, LiveUpdate descarga un conjunto de definiciones más intenso que funciona con la política de ancho de banda bajo que se obtiene de la nube. Es posible deshabilitar la descarga del contenido de AML mediante LiveUpdate.
De LiveUpdate a
Symantec Endpoint Protection Manager
, consulte:
De
Symantec Endpoint Protection Manager
a los clientes de Windows, consulte:
Paso 4: Administre los falsos positivos.
Solución de problemas del aprendizaje automático avanzado
Los registros y los informes de las detecciones del aprendizaje automático avanzado son los mismos que los de los otros motores de SDS. Para consultar un informe con las amenazas recientes, ejecute un informe de riesgos sobre
Nuevos riesgos detectados en la red
.
A partir de la versión 14.0.1, es posible ejecutar un informe programado para las detecciones de AML. En la página
Informes
, haga clic en
Informes programados
>
Agregar
>
Estado del equipo
>
Distribución de contenido (estático) de aprendizaje automático avanzado
. El dominio
Symantec Endpoint Protection Manager
debe estar inscrito en la consola en la nube para que aparezca el informe.
Para obtener más información, consulte: