In che modo
Symantec Endpoint Protection
utilizza l'apprendimento automatico avanzato?

Come funziona l'apprendimento automatico avanzato?
Il motore di apprendimento automatico avanzato (AML) determina se un file è sicuro o meno tramite un processo di apprendimento. Symantec Security Response addestra il motore a riconoscere gli attributi nocivi e definisce le regole utilizzate dal motore AML per i rilevamenti. Symantec addestra e testa il motore AML in un ambiente di laboratorio utilizzando il seguente processo:
  • LiveUpdate scarica il modello AML nel client e lo esegue per diversi giorni.
  • Il motore AML impara quali applicazioni vengono eseguite dal client e sono vittima di exploit utilizzando i dati di telemetria del client. Ciascun computer client fa parte della Global Intelligence Network che restituisce a Symantec informazioni sul modello.
  • Symantec regola il modello AML in base alle informazioni che Symantec ottiene dai dati di telemetria dei client.
  • Symantec modifica il modello AML per bloccare le applicazioni normalmente attaccate dagli exploit.
AML fa parte del motore rilevatore di dati statici (SDS). Il motore SDS include l'emulatore, Intelligent Threat Cloud Service (ITCS) e il motore delle definizioni CoreDef-3.
Symantec Endpoint Protection
utilizza l'apprendimento automatico avanzato in Analisi download, in SONAR e nelle scansioni antivirus e antispyware, che utilizzano le ricerche Insight per rilevare le minacce.
Come funziona AML con il cloud?
Symantec utilizza Intelligent Threat Cloud Service (ITCS) per verificare che il rilevamento eseguito da AML nel computer client sia corretto. A volte, AML potrebbe ribaltare la valutazione dopo aver controllato ITCS. Benché il motore AML non richieda Symantec Insight, questo feedback consente a Symantec di addestrare gli algoritmi AML per ridurre i falsi positivi e aumentare i veri positivi. Quando il computer è online,
Symantec Endpoint Protection
può fermare in media il 99% delle minacce.
Come si configura AML?
Non è possibile configurare l'apprendimento automatico avanzato. LiveUpdate scarica le definizioni AML per impostazione predefinita. Tuttavia, è necessario assicurarsi che le seguenti tecnologie siano attive.
Procedura per verificare che AML protegga i computer client
Attività
Descrizione
Passaggio 1: assicurarsi che la disponibilità della ricerca del cloud sia attiva
Le ricerche effettuate da AML per Symantec Insight sono chiamate ricerche di reputazione, ricerche del cloud, o ricerche Insight. Se le ricerche Insight sono attive, i rilevamenti AML per SONAR e per le scansioni antivirus e antispyware hanno meno falsi positivi.
Per verificare che le ricerche Insight siano attive, vedere:
Assicurarsi inoltre che gli invii dei client siano attivati. Queste informazioni consentono a Symantec di misurare e migliorare l'efficacia delle tecnologie di rilevamento.
Passaggio 2: assicurarsi che i rilevamenti Bloodhound siano attivi
Impostare il rilevamento Bloodhound sul livello automatico o aggressivo.
Quando il motore AML trova alcuni file ad alto rischio, il client avvia automaticamente una scansione più aggressiva.
Quando si avvia la modalità di scansione aggressiva:
  • La scansione viene riavviata.
  • La seguente notifica viene visualizzata nel client:
    Esecuzione di una scansione aggressiva che utilizza le ricerche Insight per pulire il computer.
Nella modalità aggressiva, potrebbe essere necessario gestire ulteriormente i falsi positivi.
Passaggio 3: assicurarsi che LiveUpdate scarichi le definizioni a intensità maggiore (14.0.1) (facoltativo)
LiveUpdate scarica sempre il contenuto AML.
A partire dalla versione 14.0.1, LiveUpdate scarica un set di definizioni più aggressive che funzionano con la politica di larghezza di banda limitata ricevuta dal cloud. È possibile disattivare il download del contenuto AML tramite LiveUpdate.
Da LiveUpdate a
Symantec Endpoint Protection Manager
:
Da
Symantec Endpoint Protection Manager
ai client Windows:
Passaggio 4: gestire i falsi positivi
Risoluzione dei problemi dell'apprendimento automatico avanzato
I registri e i report per i rilevamenti dell'apprendimento automatico avanzato sono identici a quelli per gli altri motori SDS. Per vedere un report con minacce recenti, eseguire un report di rischio per
Nuovi rischi rilevati nella rete
.
A partire dalla versione 14.0.1, è possibile eseguire un report pianificato per i rilevamenti AML. Nella pagina
Report
, fare clic su
Report pianificati
>
Aggiungi
>
Stato computer
>
Distribuzione di contenuto (statico) di apprendimento automatico avanzato
. Il dominio
Symantec Endpoint Protection Manager
deve essere registrato nella console cloud affinché il report venga visualizzato.