Управление обнаружением угроз с помощью Download Insight

В состав автоматической защиты входит компонент Download Insight, который проверяет файлы, загружаемые с помощью веб-браузеров, клиентов обмена текстовыми сообщениями и других порталов.
Поддерживаемые порталы: Internet Explorer, Firefox, Microsoft Outlook, Outlook Express, Google Chrome, Windows Live Messenger и Yahoo Messenger.
Download Insight определяет, что загруженный файл может представлять угрозу, на основании сведений о репутации файла. Download Insight поддерживается только клиентами, которые работают на компьютерах Windows.
Если на клиентских компьютерах установлен компонент автоматической защиты электронной почты, он также сканирует файлы, полученные пользователями в виде вложений электронной почты.
Управление обнаружением угроз с помощью Download Insight
Задача
Описание
Сведения о том, как Download Insight использует информацию о репутации для принятия решений в отношении файлов
Для принятие решений в отношении загруженных файлов Download Insight использует только информацию о репутации. При принятии решений он не использует сигнатуры или эвристики. Если Download Insight разрешает файл, функция автоматической защиты или компонент SONAR сканируют его при попытке пользователя открыть или запустить файл.
Просмотреть отчет загрузки распределения угроз для просмотра обнаружений компонента Download Insight
Можно использовать этот отчет для просмотра файлов, которые компонент Download Insight обнаружил на клиентских компьютерах. Можно отсортировать отчет по URL- адресу, веб-домену или приложению. Можно также посмотреть, был ли разрешен обнаруженный файл пользователем.
В сведениях об угрозе для обнаружения Download Insight отображается только первое приложение портала, сделавшее попытку загрузки. Например, пользователь пытался с помощью Internet Explorer загрузить файл, который Download Insight определяет как вредоносный. Если после этого пользователь попробует загрузить файл с помощью Firefox, в сведениях об угрозе в качестве портала будет указан Internet Explorer.
Файлы в отчете, помеченные как разрешенные пользователями, могут указывать на ложные срабатывания.
Также можно настроить получение уведомлений по электронной почте о новых загрузках, разрешенных пользователями.
Пользователи могут разрешать файлы, реагируя на уведомления, которые отображаются при обнаружениях.
Администраторы получают такой отчет в составе еженедельного отчета, который создает и отправляет по электронной почте
Symantec Endpoint Protection Manager
. Адрес электронной почты администратора должен был быть указан во время установки или настроен как часть свойств администратора. Можно также создать отчет на вкладке
Отчеты
в консоли.
Создать исключения для конкретных файлов или веб-доменов
Для приложения, загружаемого пользователями, можно создать исключение. Исключение можно создать и для конкретного веб-домена, считающегося надежным.
Если клиентские компьютеры используют прокси-сервер с аутентификацией, необходимо указать исключения надежного веб-домена для URL-адресов Symantec. Исключения позволяют клиентским компьютерам обмениваться данными с Symantec Insight и другими важными сайтами Symantec.
Сведения о рекомендуемых исключениях см. в следующих статьях:
По умолчанию Download Insight не проверяет файлы, загружаемые с надежных сайтов Интернета или внутренней сети. Надежные сайты Интернета и надежные локальные сайты внутренней сети можно настроить на вкладке
Панель управления Windows > Свойства обозревателя > Безопасность
. Если переключатель
Автоматически доверять любому файлу, загруженному с сайта внутренней сети
включен,
Symantec Endpoint Protection
разрешает любой файл, загружаемый с любого из сайтов в списке.
Symantec Endpoint Protection
проверяет наличие обновлений списка надежных сайтов в Свойствах обозревателя при входе пользователя в систему и затем каждые четыре часа.
Download Insight распознает только те сайты, которые настроены как надежные. Символы подстановки допускаются, но диапазоны немаршрутизируемых IP-адресов не поддерживаются. Например, Download Insight не распознает сайт 10.*.*.* как надежный. Download Insight также не поддерживает сайты, которые обнаруживаются с помощью функции
Свойства обозревателя > Безопасность > Автоматически определять принадлежность к интрасети
.
Убедитесь, что запросы Insight включены.
Для принятия решений о файлах Download Insight нужны данные о репутации из Symantec Insight. Если отключить запросы Insight, Download Insight будет работать, но сможет обнаруживать только файлы с наихудшей репутацией. Запросы Insight включены по умолчанию.
Настройка параметров Download Insight
Настройка параметров Download Insight может потребоваться по следующим причинам.
  • Чтобы увеличить или уменьшить число обнаружений Download Insight.
    Число обнаружений можно увеличить или уменьшить, настроив положение ползунка чувствительности к вредоносным файлам. На более низких уровнях чувствительности Download Insight обнаруживает меньше файлов, которые считает вредоносными, и больше неподтвержденных. При этом уменьшается число ложных срабатываний.
    На более высоких уровнях чувствительности Download Insight обнаруживает больше файлов, которые считает вредоносными, и меньше неподтвержденных. При этом увеличивается число ложных срабатываний.
  • Измените действие при обнаружении вредоносного или неподтвержденного файла.
    Можно изменить способ обработки компонентом Download Insight вредоносных или неподтвержденных файлов. Указанное действие влияет не только на само обнаружение, но и на то, смогут ли пользователи взаимодействовать с ним.
    Например, можно заменить действие для неподтвержденных файлов на
    Игнорировать
    . В результате Download Insight всегда разрешает неподтвержденные файлы и не предупреждает пользователя.
  • Предупреждать пользователей об обнаружениях Download Insight
    Если уведомления включены, на число получаемых пользователями уведомлений будет влиять параметр чувствительности к вредоносному файлу. При повышении чувствительности увеличивается число уведомлений пользователя, поскольку при этом растет общее количество обнаружений.
    Уведомления можно отключить, тогда пользователь не сможет выбирать действия при обнаружениях, сделанных Download Insight. Если оставить уведомления включенными, для действия с неподтвержденными файлами можно указать значение
    Игнорировать
    — тогда эти обнаружения всегда будут разрешаться без уведомления пользователя.
    Независимо от настройки уведомлений, если Download Insight обнаруживает неподтвержденный файл и выбрано действие
    Запросить
    , пользователь может разрешить или заблокировать такой файл. Если пользователь разрешит такой файл, этот файл будет запущен автоматически.
    Когда уведомления включены и Download Insight помещает файл в карантин, пользователь может отменить действие помещения в карантин и разрешить файл.
    Если пользователь разрешит файл, помещенный в карантин, этот файл не будет автоматически запущен. Пользователь может запустить файл из папки временных файлов Интернета. Обычно эта папка находится в следующем расположении:
    • Windows 8 и более поздние выпуски:
      диск
      :\Users\
      имя пользователя
      \AppData\Local\Microsoft\Windows\INetCache
    • Windows Vista/7:
      диск
      :\Users\
      имя пользователя
      \AppData\Local\Microsoft\Windows\Temporary Internet Files
    • Windows XP (для устаревших клиентов 12.1.x):
      диск
      :\Documents and Settings\
      имя пользователя
      \Local Settings\Temporary Internet Files
Разрешить клиентам отправлять информацию об обнаруженных угрозах в Symantec
По умолчанию клиенты отправляют в Symantec сведения об обнаружениях, связанных с данными репутации.
Компания Symantec рекомендует включить отправку сведений об обнаружениях, связанных с данными репутации. Предоставляемые сведения помогают компании Symantec бороться с новыми угрозами.