Symantec Endpoint Protection
如何使用進階機器學習?

進階機器學習如何運作?
進階機器學習 (AML) 引擎會透過學習程序判斷檔案是良好還是無效檔案。賽門鐵克安全機制應變中心會訓練該引擎來辨識惡意屬性,以及定義 AML 引擎用來進行偵測的規則。賽門鐵克會在實驗室環境中使用下列程序訓練和測試 AML 引擎:
  • LiveUpdate 會下載 AML 模型至用戶端,並執行數日。
  • AML 引擎會學習用戶端執行的應用程式,並使用用戶端的遙測資料侵入。每個用戶端電腦均屬於會將模型的相關資訊傳回賽門鐵克的 Global Intelligence Network 的一部分。
  • 賽門鐵克會根據賽門鐵克從用戶端的遙測資料所探索的資訊來調整 AML 模型。
  • 賽門鐵克會修改 AML 模型來攔截侵入通常攻擊的應用程式。
AML 屬於靜態資料掃描程式 (SDS) 引擎的一部分。SDS 引擎包括模擬器、Intelligent Threat Cloud Service (ITCS) 和 CoreDef-3 定義檔引擎。
Symantec Endpoint Protection
在下載鑑識、SONAR 以及病毒和間諜軟體掃描中使用進階機器學習,這些均使用智慧型掃描查詢來偵測威脅。
AML 如何與雲端搭配運作?
賽門鐵克利用 Intelligent Threat Cloud Service (ITCS) 來確認 AML 在用戶端電腦上進行的偵測正確。有時在 AML 向 ITCS 查詢之後,可能會撤銷原判。雖然 AML 引擎不需要 Symantec Insight,但此回饋會使賽門鐵克能夠訓練 AML 演算法,以減少誤報和增加檢出。當電腦在線上時,
Symantec Endpoint Protection
可以阻止平均 99% 的威脅。
如何架構 AML?
您無法架構進階機器學習。依據預設,LiveUpdate 會下載 AML 定義檔。不過,您需要確定已啟用以下技術。
確保 AML 保護用戶端電腦的步驟
工作
說明
步驟 1:確定已啟用雲端查詢可用性
AML 對 Symantec Insight 進行的查詢稱為信譽查詢、雲端查詢或智慧型掃描查詢。如果智慧型掃描查詢已啟用,針對 SONAR 和病毒與間諜軟體掃描的 AML 偵測會具有較少的誤報。
若要驗證已啟用智慧型掃描查詢,請參閱:
此外,請確定已啟用用戶端傳送資訊。此資訊有助於賽門鐵克衡量和改善偵測技術的有效性。
步驟 2:確定已啟用 Bloodhound 偵測
將 Bloodhound 偵測層級設定為自動或主動。
當 AML 引擎遇到某些高度風險檔案時,用戶端會自動進入更主動的掃描。
進入主動掃描模式時:
  • 隨即會重新啟動掃描。
  • 用戶端上會出現以下通知:
    執行使用智慧型掃描查詢的主動掃描清理您的電腦。
在主動模式中,您可能需要進一步管理誤報。
步驟 3:確定 LiveUpdate 下載高密集度定義檔 (14.0.1) (選擇性)
LiveUpdate 一律會下載 AML 內容。
自 14.0.1 起,LiveUpdate 會下載更主動的定義檔集,可搭配您自雲端取得的低頻寬政策使用。您可以停用 AML 內容,使其不再透過 LiveUpdate 下載。
從 LiveUpdate 至
Symantec Endpoint Protection Manager
Symantec Endpoint Protection Manager
至 Windows 用戶端:
步驟 4:處理誤報
疑難排解進階機器學習
進階機器學習偵測的日誌和報告與其他 SDS 引擎相同。若要查看具有最新威脅的報告,請針對「
網路中偵測到的新風險
」執行風險報告。
自 14.0.1 起,您可以針對 AML 偵測執行排程報告。在「
報告
」頁面上,按下「
排程報告
」>「
新增
」>「
電腦狀態
」>「
進階機器學習 (靜態) 內容派送
」。
Symantec Endpoint Protection Manager
網域必須在雲端主控台中註冊,才能顯示此報告。