Zarządzanie wykryciami funkcji Download Insight

Funkcja Automatyczna ochrona obsługuje funkcję Download Insight, sprawdzającą pliki, które użytkownicy próbują pobrać za pomocą przeglądarek internetowych, programów do komunikacji tekstowej i innych portali.
Obsługiwane portale to Internet Explorer, Firefox, Microsoft Outlook, Outlook Express, Google Chrome, Windows Live Messenger i Yahoo Messenger.
Funkcja Download Insight określa na podstawie informacji dotyczących reputacji pobranego pliku, czy plik ten może być zagrożeniem. Funkcja Download Insight jest obsługiwana tylko na klientach uruchamianych na komputerach z systemem Windows.
Jeśli na komputerach zostanie zainstalowana funkcja Automatyczna ochrona poczty elektronicznej, to funkcja ta skanuje także pliki otrzymane przez użytkowników jako załączniki wiadomości e-mail.
Zarządzanie wykryciami funkcji Download Insight
Zadanie
Opis
Poznanie sposobu stosowania przez funkcję Download Insight danych o reputacji w celu podejmowania decyzji dotyczących plików
Funkcja Download Insight stosuje informacje o reputacji wyłącznie podczas podejmowania decyzji dotyczących pobranych plików. Nie stosuje sygnatur ani analizy heurystycznej w celu podejmowania decyzji. Jeśli funkcja Download Insight zezwala na plik, funkcja Automatyczna ochrona lub SONAR skanuje plik, gdy użytkownik go otwiera lub uruchamia.
Wyświetlanie raportu Rozkład zagrożeń pobierania w celu wyświetlenia wykryć funkcji Download Insight
Za pomocą raportu Rozkład zagrożeń pobierania można wyświetlić pliki wykryte przez funkcję Download Insight na komputerach klienckich. Raport można sortować według adresów URL, domen internetowych lub aplikacji. Można również sprawdzić, czy użytkownik wybrał opcję zezwolenia na wykryty plik.
Szczegóły zagrożenia w przypadku wykrycia funkcji Download Insight wskazują jedynie pierwszą aplikację portalu, która podjęła próbę pobrania. Na przykład użytkownik może spróbować pobrać za pomocą programu Internet Explorer plik, który wykrywa funkcja Download Insight. Jeśli następnie podjęta zostanie próba pobrania pliku za pomocą programu Firefox, w szczegółach zagrożenia jako portal wyświetlany będzie program Internet Explorer.
Pliki dozwolone przez użytkownika wyświetlane w raporcie mogą wskazywać fałszywe alarmy.
Administrator może również określić, że otrzymuje pocztą elektroniczną powiadomienia o nowych pobraniach dozwolonych przez użytkowników.
Użytkownicy mogą zezwolić na pliki, odpowiadając na wyświetlane powiadomienia o wykryciach.
Administratorzy otrzymują raport w ramach raportu cotygodniowego, generowanego i wysyłanego pocztą elektroniczną przez program
program Symantec Endpoint Protection Manager
. Adres e-mail administratora został skonfigurowany podczas instalacji lub skonfigurowany we właściwościach administratora. Raport można wygenerować również z karty
Raporty
w konsoli.
Tworzenie wyjątków dla określonych plików lub domen internetowych
Można utworzyć wyjątek dla aplikacji pobieranej przez użytkowników. Można także utworzyć wyjątek dla określonej domeny internetowej, która jest wiarygodna.
Jeśli komputery klienckie używają serwera proxy z uwierzytelnianiem, należy określić wyjątki zaufanych domen internetowych dla adresów URL firmy Symantec. Wyjątki umożliwiają komputerom klienckim komunikację z usługą Symantec Insight i innymi ważnymi stronami firmy Symantec.
Szczegółowe informacje na temat zalecanych wyjątków zawierają następujące artykuły bazy wiedzy:
Domyślnie funkcja Download Insight nie sprawdza żadnych plików, które użytkownicy pobierają z zaufanej witryny internetowej lub intranetowej. Zaufane witryny internetowe i intranetowe można skonfigurować na karcie
Panel sterowania systemu Windows > Opcje internetowe > Zabezpieczenia
. Gdy opcja
Automatycznie ufaj wszystkim plikom pobranym z witryny intranetowej
jest włączona, program
Symantec Endpoint Protection
zezwala na każdy plik pobierany przez użytkownika z jednej z witryn na listach.
Program
Symantec Endpoint Protection
sprawdza dostępność aktualizacji listy witryn zaufanych z okna dialogowego Opcje internetowe po zalogowaniu użytkownika i co cztery godziny.
Funkcja Download Insight rozpoznaje jedynie jednoznacznie skonfigurowane witryny zaufane. Symbole wieloznaczne są dozwolone, ale nieroutowalne zakresy adresów IP nie są obsługiwane. Funkcja Download Insight nie rozpoznaje na przykład adresu 10.*.*.* jako witryny zaufanej. Funkcja Download Insight nie obsługuje również witryn wykrytych przy użyciu opcji
Opcje internetowe > Zabezpieczenia > Automatycznie wykryj sieć intranet
.
Sprawdzenie, czy wyszukiwania Insight są włączone
Funkcja Download Insight wymaga danych reputacji z usługi Symantec Insight w celu podejmowania decyzji dotyczących plików. W przypadku wyłączenia wyszukiwań Insight funkcja Download Insight działa, ale wykrywa tylko pliki o najgorszej reputacji. Wyszukiwania Insight są domyślnie włączone.
Dostosowanie ustawień funkcji Download Insight
Ustawienia funkcji Download Insight można dostosować z następujących przyczyn:
  • W celu zwiększenia lub zmniejszenia liczby wykryć funkcji Download Insight.
    W celu zwiększenia lub zmniejszenia liczby wykryć można przesunąć suwak czułości wykrywania destrukcyjnych plików. Na niższych poziomach czułości funkcja Download Insight wykrywa mniej plików jako destrukcyjne, więcej plików jako niepotwierdzone. Mniej jest fałszywych alarmów.
    Na wyższych poziomach czułości funkcja Download Insight wykrywa więcej plików jako destrukcyjne, a mniej plików jako niepotwierdzone. Więcej jest fałszywych alarmów.
  • W celu zmiany działania wobec wykryć destrukcyjnych lub niepotwierdzonych plików.
    Sposób obsługi plików destrukcyjnych lub niepotwierdzonych przez funkcję Download Insight można zmienić. Określone działanie dotyczy nie tylko wykrycia, lecz również tego, czy użytkownicy mogą interagować z wykryciem.
    Można na przykład zmienić działanie wobec niepotwierdzonych plików na
    Ignoruj
    . W takim przypadku funkcja Download Insight zawsze zezwala na niepotwierdzone pliki i nie ostrzega użytkownika.
  • W celu wyświetlania użytkownikom alertów dotyczących wykryć funkcji Download Insight.
    Gdy powiadomienia są włączone, ustawienie czułości wykrywania destrukcyjnych plików ma wpływ na liczbę wyświetlanych powiadomień. Zwiększenie poziomu czułości skutkuje zwiększeniem liczby powiadomień, ponieważ zwiększa się całkowita liczba wykryć.
    Można wyłączyć powiadamiania, aby użytkownicy nie mieli wyboru, gdy funkcja Download Insight wykryje niepotwierdzony plik. Jeśli powiadomienia pozostają włączone, można dla niepotwierdzonych plików ustawić działanie
    Ignoruj
    , aby zawsze zezwalać na takie pliki bez wyświetlania powiadomienia użytkownikom.
    Bez względu na ustawienie powiadomień, gdy funkcja Download Insight wykryje niepotwierdzony plik i ustawione jest działanie
    Wyświetl monit
    , użytkownik może zezwolić na plik albo go zablokować. Jeśli użytkownik zezwoli na plik, plik jest automatycznie uruchamiany.
    Gdy powiadomienia są włączone i funkcja Download Insight podda plik kwarantannie, użytkownik może cofnąć to działanie i zezwolić na plik.
    Jeśli użytkownik zezwoli na plik poddany kwarantannie plik nie jest uruchamiany automatycznie. Użytkownik może uruchomić plik z folderu tymczasowych plików internetowych. Zazwyczaj folder ten ma jedną z następujących lokalizacji:
    • Windows 8 i nowsze:
      Dysk
      :\Użytkownicy\
      nazwa użytkownika
      \AppData\Local\Microsoft\Windows\INetCache
    • Windows Vista / 7:
      Dysk
      :\Użytkownicy\
      nazwa użytkownika
      \AppData\Local\Microsoft\Windows\Temporary Internet Files
    • Windows XP (dla starszych wersji klientów 12.1.x):
      Dysk
      :\Documents and Settings\
      nazwa użytkownika
      \Local Settings\Temporary Internet Files
Zezwolenie klientom na przesyłanie informacji o wykryciach reputacji do firmy Symantec
Domyślnie klient przesyła informacje o wykryciach skanowania reputacji do firmy Symantec.
Firma Symantec zaleca włączenie wysyłek wyników skanowania reputacji. Informacje te ułatwiają firmie Symantec eliminowanie zagrożeń.