Как в
Symantec Endpoint Protection
используется Advanced Machine Learning?

Как работают расширенные возможности машинного обучения?
Модуль расширенных возможностей машинного обучения (AML) определяет надежность файла в процессе обучения. Symantec Security Response обучает модуль распознавать вредоносные атрибуты и определяет правила, которые модуль AML использует для обнаружения. Symantec обучает и тестирует функцию AML в лабораторной среде, используя следующий процесс:
  • LiveUpdate загружает модель AML на клиент и запускает его на несколько дней.
  • Из телеметрических данных клиента функция AML узнает, какие приложения работают на клиенте и подвергаются атакам с использованием эксплойтов. Каждый компьютер является частью глобальной аналитической сети, которая возвращает информацию о модели в Symantec.
  • Symantec корректирует модель AML на основании информации, полученной из телеметрических данных клиента.
  • Symantec изменяет модель AML таким образом, чтобы блокировать приложения, которые чаще других атакуются с использованием эксплойтов.
AML является частью статического сканера данных (SDS). В состав SDS входит эмулятор, служба Intelligent Threat Cloud Service (ITCS) и функция описаний CoreDef-3.
Symantec Endpoint Protection
использует Advanced Machine Learning в компонентах Download Insight, SONAR, в сканере вирусов и программ-шпионов. Все эти компоненты пользуются механизмом Insight для выявления угроз.
Как AML работает с облаком?
Symantec использует Intelligent Threat Cloud Service (ITCS) для подтверждения того, что функция AML совершает правильные обнаружения на клиентском компьютере. Иногда AML может изменить свое решение после сверки с ITCS. Хотя функция AML не нуждается в Symantec Insight, собираемые данные помогают Symantec обучать алгоритмы AML, снижая процент ложных срабатываний и увеличивая процент настоящих. Когда компьютер подключен к сети, продукт
Symantec Endpoint Protection
способен блокировать в среднем 99 % угроз.
Как настроить AML?
Функция Advanced Machine Learning не нуждается в настройке. По умолчанию LiveUpdate загружает описания для AML. Однако необходимо убедиться, что включены следующие технологии.
Как проверить, что AML защищает клиентские компьютеры
Задача
Описание
Шаг 1: Убедитесь, что поиск в облаке включен
Запросы, которые AML делает к Symantec Insight, называются поиском репутации, поиском в облаке или поиском в Insight. Если поиск в Insight включен, функция AML будет совершать меньше ложных срабатываний при работе с SONAR и со сканированием на наличие вирусов и программ-шпионов.
Чтобы убедиться, что поиск Insight включен, проверьте следующее:
Кроме того, убедитесь, что отправка файлов из клиента включена. Эта информация помогает Symantec измерять и повышать эффективность технологий обнаружения.
Шаг 2: Убедитесь, что обнаружение по технологии Bloodhound включено
Задайте автоматический или агрессивный уровень обнаружения по технологии Bloodhound.
Когда функция AML встречает некоторые файлы с высокой степенью риска, клиент автоматически переключается на более агрессивное сканирование.
Когда включается агрессивный режим сканирования:
  • Сканирование перезапускается.
  • На клиенте появляются следующие уведомления:
    Выполнение агрессивного сканирования с использованием операций поиска Insight для очистки компьютера.
В агрессивном режиме может потребоваться более тщательная обработка ложных срабатываний.
Шаг 3: Убедитесь, что LiveUpdate загружает описания для сканирования с высокой интенсивностью (версия 14.0.1) (необязательно)
LiveUpdate всегда загружает содержимое AML.
В версии 14.0.1 LiveUpdate загружает набор более агрессивных описаний, которые применяются с политикой для низкой пропускной способности, получаемой из облака. Загрузку содержимого AML с помощью LiveUpdate можно отключить.
Из LiveUpdate в
Symantec Endpoint Protection Manager
:
Из
Symantec Endpoint Protection Manager
на клиенты Windows:
Шаг 4: Обрабатывайте ложные срабатывания
Устранение неполадок расширенных возможностей машинного обучения
В Advanced Machine Learning применяется тот же набор журналов и отчетов, что и в других функциях SDS. Для получения отчета со списком недавно обнаруженных угроз создайте отчет об угрозах для категории
Новые угрозы, найденные в сети
.
В версии 14.0.1 можно создавать для AML плановые отчеты. На странице
Отчеты
нажмите
Плановые отчеты
>
Добавить
>
Состояние компьютера
>
Распространение (статического) содержимого расширенных возможностей машинного обучения
. Чтобы отчет появился, домен
Symantec Endpoint Protection Manager
необходимо зарегистрировать в облачной консоли.