事件監控提供了一種更為通用的方法來抵禦未授權軟體和惡意程式攻擊。它會在系統區域中監控某些事件,允許管理員調整觸發此類事件的程式。如果您的特定系統保護需求高於惡意程式行為封鎖提供的需求,請使用事件監控。
以下表格為監控系統事件清單。
|
事件 |
說明 |
|---|---|
|
重複的系統檔案 |
許多惡意程式會使用 Windows 系統檔案所使用的檔案名稱,來建立本身或其他惡意程式的副本。這樣做通常是為了覆寫或取代系統檔案、規避偵測,或讓使用者不敢隨意刪除惡意檔案。 |
|
Hosts 檔案修改 |
Hosts 檔案可將網域名稱對應到 IP 位址。許多惡意程式皆有能力修改主機檔案,而使網路瀏覽器重新導向至中毒、不存在或偽造的網站。 |
|
可疑行為 |
可疑行為是合法程式很少執行的特定動作或一系列動作。使用有可疑行為的程式時應小心謹慎。 |
|
新 Internet Explorer 嵌入程式 |
間諜程式/可能的資安威脅程式通常會安裝不必要的 Internet Explorer 嵌入程式,包括工具列和瀏覽器協助物件。 |
|
Internet Explorer 設定的修改 |
惡意程式可能會變更 Internet Explorer 設定,包括首頁、信任的網站、Proxy 伺服器設定和功能表擴充項目等。 |
|
安全策略修改 |
修改「Windows 安全策略」可允許不必要的應用程式執行及變更系統設定。 |
|
程式庫插入 |
許多惡意程式都會設定 Windows,以讓所有應用程式自動載入程式庫 (DLL)。這樣可讓 DLL 中的惡意常式在每次應用程式啟動時執行。 |
|
Shell 的修改 |
許多惡意程式都會修改 Windows Shell 設定,以將本身與特定檔案類型關聯。此常式可讓惡意程式在使用者於「Windows 檔案總管」中開啟關聯的檔案時自動啟動。變更 Windows Shell 設定也可以讓惡意程式追蹤所使用的程式,以及隨著合法應用程式啟動。 |
|
新服務 |
Windows 服務是具有特殊功能的處理程序,通常以完整的系統管理權限在背景連續執行。惡意程式有時會將本身安裝為服務,以維持隱藏狀態。 |
|
系統檔案修改 |
特定 Windows 系統檔案決定系統行為,包括啟動程式和螢幕保護裝置設定。許多惡意程式都會修改系統檔案,以在系統啟動時自動啟動並控制系統行為。 |
|
防火牆策略的修改 |
「Windows 防火牆策略」決定可存取網路的應用程式、開放用於通訊的通訊埠,以及可與電腦通訊的 IP 位址。許多惡意程式都會修改策略,以允許本身存取網路和 Internet。 |
|
系統程序的修改 |
許多惡意程式會在內建 Windows 處理程序中執行各種動作。這些動作可能包含終止或修改執行中的處理程序。 |
|
新啟動程式 |
惡意應用程式通常會在 Windows 登錄中新增或修改自動啟動項目,以在每次電腦啟動時自動啟動。 |
當事件監控偵測到監控的系統事件時,它會執行針對此事件所設定的處理行動。
以下表格列出的是管理員在監控系統事件上可採取的行動。
|
處理行動 |
說明 |
|---|---|
|
評估 |
Security Agent一律允許與事件相關聯的程式執行,並且會記錄事件以供評估。 這是對所有監控的系統事件的預設處理行動。 註:
這個選項不支援 64 位元系統的程式庫植入(DLL 植入)事件。 |
|
允許 |
Security Agent一律允許與事件相關聯的程式執行。 |
|
需要時詢問 |
Security Agent會提示使用者允許或拒絕與事件相關聯的程式執行,並將該程式新增到例外清單。 如果使用者在特定的時間內未回應,Security Agent會自動允許此程式執行。預設時間為 30 秒。 如果要修改此時間範圍,請參閱配置全域行為監控設定。 註:
這個選項不支援 64 位元系統的程式庫植入(DLL 植入)事件。 |
|
拒絕 |
Security Agent一律封鎖與事件相關聯的程式執行,並且會記錄事件。 在已啟動通知的情況下,封鎖某個程式後,Security Agent會在端點上顯示通知。 如需有關通知的詳細資訊,請參閱Security Agent使用者的行為監控通知。 |