Symantec Endpoint Protection
が高度な機械学習を使用する仕組み

詳細については、以下のトピックを参照してください。
高度な機械学習の機能
高度な機械学習 (AML) エンジンは、学習プロセスを通じて、ファイルが良好であるか問題があるかを判断します。シマンテックセキュリティレスポンスは、このエンジンが悪質な属性を認識するようにトレーニングし、AML エンジンが検出に使用するルールを定義します。シマンテック社は、ラボ環境で次のプロセスを使用して、AML エンジンのトレーニングとテストを実行します。
  • LiveUpdate が AML モデルをクライアントにダウンロードし、数日間実行します。
  • AML エンジンは、クライアントの遠隔測定データを使用して、クライアント上で稼動するどのアプリケーションがエクスプロイトされたかを学習します。各クライアントコンピュータは、モデルに関する情報をシマンテック社に返す Global Intelligence Network に属します。
  • シマンテック社は、クライアントの遠隔測定データから得た情報に基づいて AML モデルを調整します。
  • シマンテック社は、攻撃でエクスプロイトされたアプリケーションを遮断するように、AML モデルを修正します。
AML は静的データスキャナ (SDS) エンジンの一部です。SDS エンジンには、エミュレータ、ITCS (Intelligent Threat Cloud Services)、CoreDef-3 定義エンジンが含まれます。
Symantec Endpoint Protection
は、ダウンロードインサイト、SONAR、ウイルスとスパイウェアのスキャンで高度な機械学習を使用し、これらすべてがインサイトルックアップを使用して脅威を検出します。
AML がクラウドと連携する仕組み
シマンテック社は ITCS (Intelligent Threat Cloud Services) を活用して、AML がクライアントコンピュータ上で行った検出が正しいかどうかを確認します。ITCS でチェックされた後に、AML が判断を変える場合もあります。AML エンジンは Symantec Insight を必要としませんが、このフィードバックによって、シマンテック社が AML アルゴリズムをトレーニングし、誤検知を減らし、正しい検出を増やすことができます。コンピュータがオンラインの場合、
Symantec Endpoint Protection
は平均で 99% の脅威を防止できます。次のサイトを参照してください。
AML の設定方法
高度な機械学習をユーザーが設定することはできません。LiveUpdate はデフォルトで AML 定義をダウンロードします。ただし、次の技術が有効になっていることを確認する必要はあります。
AML がクライアントコンピュータを保護することを確認する手順
タスク
説明
ステップ 1: クラウドルックアップが有効であることの確認
AML が Symantec Insight に対して実行するクエリーは、評価ルックアップ、クラウドルックアップ、またはインサイトルックアップと呼ばれます。インサイトルックアップが有効な場合、AML が SONAR やウイルスとスパイウェアのスキャンで行う検出で誤検知が少なくなります。
インサイトルックアップが有効になっていることを確認するには、次の場所を参照してください。
また、クライアント提出が有効になっていることを確認します。この情報は、シマンテック社が検出技術の有効性を測定し、向上を図るのに役立ちます。次のサイトを参照してください。
ステップ 2: Bloodhound 検出が有効であることの確認
Bloodhound 検出のレベルを、自動または拡張に設定します。次のサイトを参照してください。
AML エンジンが特定の高リスクファイルを検出すると、クライアントはよりアグレッシブなスキャンを自動的に実行します。
拡張スキャンモードでは、次の処理が実行されます。
  • スキャンが再起動します。
  • 次の通知がクライアントに表示されます。
    コンピュータをクリーニングするため、インサイトルックアップを使用する拡張スキャンを実行中です
拡張モードでは、誤検知をより細かく管理する必要があります。
ステップ 3: LiveUpdate が高集中定義をダウンロードすることの確認 (14.0.1) (省略可能)
LiveUpdate は常に AML コンテンツをダウンロードします。
14.0.1 では、LiveUpdate がよりアグレッシブな定義セットをダウンロードします。この定義は、クラウドから取得する低帯域幅ポリシーと連携します。AML コンテンツが LiveUpdate でダウンロードされないようにすることができます。
LiveUpdate から
つの Symantec Endpoint Protection Manager
の場合は、以下を参照してください。
つの Symantec Endpoint Protection Manager
から Windows クライアントの場合は、以下を参照してください。
ステップ 4: 誤検知の処理
高度な機械学習のトラブルシューティング
高度な機械学習による検出のログとレポートは、他の SDS エンジンの場合と同じです。最新の脅威を示すレポートを確認するには、
[ネットワークで検出された新種のリスク]
のリスクレポートを実行します。
14.0.1 では、AML 検出の定時レポートを実行できます。
[レポート]
ページで、
[定時レポート]
>
[追加]
>
[コンピュータの状態]
>
[高度な機械学習 (静的) コンテンツ配布]
を選択します。レポートを表示するには、クラウドコンソールで
つの Symantec Endpoint Protection Manager
ドメインを登録する必要があります。
詳細については、次を参照してください。