Comment
Symantec Endpoint Protection
utilise-t-il Machine Learning ?

Pour plus d'informations, consultez les rubriques suivantes :
Comment fonctionne Advanced Machine Learning ?
Le moteur Advanced Machine Learning (AML) détermine si un fichier est bon ou mauvais à travers un processus d'apprentissage. Symantec Security Response forme le moteur pour qu'il reconnaisse les attributs malveillants et définit less règles que le moteur AML utilise pour faire des détections. Symantec forme et teste le moteur AML dans un laboratoire en utilisant la procédure suivante :
  • LiveUpdate télécharge le modèle AML pour le client et l'exécute plusieurs jours.
  • Le moteur AML apprend quelles applications le client exécute et les exploite en utilisant les données de télémétrie du client. Chaque ordinateur client constitue une partie intégrante du réseau de renseignements global qui envoie des informations sur le modèle à Symantec.
  • Symantec ajuste le modèle AML en fonction de que nous apprenons des données de télémétrie du client.
  • Symantec modifie le modèle AML pour bloquer les applications que les exploits attaquent généralement.
AML fait partie du moteurr d'analyseur de données statiques (SDS). Le moteur SDS inclut une émulation, Intelligent Threat Cloud Service (ITCS) et le moteur des définitions CoreDef-3.
Symantec Endpoint Protection
utilise Advanced Machine Learning dans le diagnostic des téléchargements, SONAR et les analyses de virus et logiciels espions et tous utilisent des consultations de diagnostic pour la détection des menaces.
Comment AML fonctionne avec le cloud ?
Symantec s'appuie sur Intelligent Threat Cloud Service (ITCS) pour confirmer que la détection effectuée par AML sur l'ordinateur client est correcte. Parfois, AML peut revenir sur la conviction après avoir vérifié avec ITCS. Bien que le moteur AML n'ait pas besoin de Symantec Insight, cette information permet à Symantec de former les algorithmes AML pour réduire les faux positifs et augmenter les vrais positifs. Quand l'ordinateur est en ligne,
Symantec Endpoint Protection
peut arrêter en moyenne 99% de menaces. Voir :
Comment puis-je configurer AML ?
Vous ne pouvez pas configurer l'Advanced Machine Learning. LiveUpdate télécharge les définitions AML par défaut. Toutefois, vous devez vous assurer que les technologies suivantes sont activées.
Étapes permettant de s'assurer que AML protège les ordinateurs client.
Tâche
Description
Étape 1 : assurez-vous que la disponibilité des recherches sur le cloud est activée.
Les requêtes que AML adressent à Symantec Insight sont appelées des consultations de réputation, des consulations du cloud ou des consulations Insight. Si consultation Insight est activée, les détections AML pour SONAR et les analyses des virus et des spywares ont moins de faux positifs.
Pour vérifier que Consultations Insight sont activées, référez-vous à :
En plus, assurez-vous que les transmissions client sont activées. Cette information permet à Symantec d'évaluer et d'améliorer l'efficacité des technologies de détection.Voir :
Étape 2 : assurez-vous les détections Bloodhound sont activées
Définissez le niveau de détection Bloodhound sur Automatique ou Agressif.Voir :
Lorsque le moteur AML rencontre certains fichiers à haut risque, le client déclenche automatiquement une analyse plus agressive.
Lorsque le mode d'analyse agressif est activé :
  • L'analyse démarre.
  • La notification suivante s'affiche sur le client :
    Exécution d’une analyse agressive utilisant les consultations Insight pour nettoyer votre ordinateur.
En mode agressif, il vous faudra éventuellement prendre en charge les faux positifs.
Étape 3 : assurez-vous que LiveUpdate télécharge les défintions de haute intensité (14.0.1) (facultatif)
LiveUpdate télécharge toujours le contenu AML.
À partir de la version 14.0.1, LiveUpdate télécharge un ensemble plus agressif de définitions qui fonctionnent avec la politique à faible bande passante que vous obtenez du cloud. Vous pouvez désactiver le contenu AML pour empêcher son téléchargement via LiveUpdate.
Depuis LiveUpdate vers
 instance de Symantec Endpoint Protection Manager
, voir :
Depuis
 instance de Symantec Endpoint Protection Manager
vers les clients Windows, voir :
Étape 4 : gestion des faux positifs
Résolution des problèmes Advanced Machine Learning
Les journaux et les rapports pour les détections de Advanced Machine Learning sont identiques à ceux des autres moteurs SDS. Pour afficher un rapport avec des menaces récentes, exécutez un rapport de risques pour les
nouveaux risques détectés sur le réseau
.
A partir de la version de 14.0.1, vous pouvez exécuter un rapport programmé pour les détections AML. Sur la page
Rapports
, cliquez sur
Rapports planifiés
>
Ajouter
>
État de l'ordinateur
>
Distribution du contenu Advanced Machine Learning (statique)
. Le domaine
 instance de Symantec Endpoint Protection Manager
doit être inscrit dans la console cloud pour que le rapport s'affiche.
Pour plus d'informations, consultez l'article :