設定行為監控策略以保護端點抵禦勒索軟體、弱點攻擊和新興的安全威脅。使用事件監控功能可評估或封鎖常與惡意程式安全威脅相關的行為。
注意
注意
依預設,「行為監控」在所有版本的 Windows Server 平台上均是關閉的。

步驟

  1. 請點選「規則」標籤。
  2. 選取「啟動行為監控」。
  3. 設定「偵測」和「防範」的「監控等級」設定。
    重要
    重要
    • 較高的監控等級可提供更高的敏感度,但可能會產生大量非必要記錄檔並影響端點效能。趨勢科技建議您選取「2 - 中等」,以在取得更相關資料的同時,將對端點的影響降到最小。
    • 防範」等級必須等於或低於「偵測」等級。
    • 要封鎖的安全威脅」選取內容可能會影響對所選防範等級採取的防範處理行動。
  4. 選取「要封鎖的安全威脅」。
    • 已知安全威脅:封鎖與已知惡意程式安全威脅相關聯的行為
    • 已知和潛在安全威脅:封鎖與已知威脅相關聯的行為,並對可能是惡意的行為採取處理行動
  5. 選取您要啟用以抵禦勒索軟體安全威脅的勒索軟體防護功能。
    • 保護文件以防止未經授權的加密或修改:阻止潛在的勒索軟體安全威脅加密或修改文件內容
      • 自動備份與恢復遭可疑程式變更的檔案:在偵測到勒索軟體安全威脅時,為端點上要加密的檔案建立備份複本,以防任何資料遺失
        注意
        注意
        自動檔案備份需要用戶端端點上至少有 100 MB 的磁碟空間,而且僅會備份大小小於 10 MB 的檔案。
    • 封鎖通常與勒索軟體相關的程序:在加密和修改文件之前,封鎖與已知勒索軟體安全威脅相關的處理程序
    • 啟動程式檢測,以偵測並封鎖遭到入侵的可執行檔:程式檢測可監控處理程序並執行 API 攔截,以判斷程式是否表現出非預期的行為。雖然此程序可提高對遭到入侵的可執行檔的整體偵測率,卻可能會導致系統效能降低。
      注意
      注意
      如果您在「要封鎖的安全威脅」下拉式清單中選取「已知和潛在安全威脅」,程式檢測會提供增強的安全性。
  6. 在「弱點攻擊防護」下,啟動「如果程式展現出與弱點攻擊有關的異常行為,請將其終止」,以防範可能遭到攻擊的程式。
    重要
    重要
    若要使用「弱點攻擊防護」,您必須選取「啟動程式檢測,以偵測並封鎖遭到入侵的可執行檔」。如需詳細資訊,請參閱弱點攻擊防護
    弱點攻擊防護與即時掃瞄 (隔離在記憶體中偵測到的惡意程式變體) 搭配使用時,可增強防禦無檔案攻擊的能力。如需詳細資訊,請參閱即時掃瞄:「目標」標籤
  7. 在「事件監控」區段中:
    1. 選取「啟動事件監控」
    2. 請點選「指定詳細設定」以選取要監控的事件類型。
    3. 選擇要監控的系統事件,並針對所選取的每個件選取處理行動。
      如需有關監控的系統事件和處理行動的資訊,請參閱 事件監控
  8. 請點選「例外」標籤以設定例外清單。
    1. 設定上層策略時,指定其他使用者設定子策略的方式。
      • 繼承自父策略:子策略必須使用在上層策略中設定的設定
      • 從父策略延伸:子策略可以將其他設定附加至從上層策略繼承的設定
        注意
        注意
        如果您的子策略是從父策略延伸的,則您可以設定子策略限制來阻止子策略新增特定規則到規則例外清單。
    2. 在可用的文字欄位中輸入完整程式路徑。
      注意
      注意
      • 請以半形分號 (;) 來分隔多個項目。
      • 使用「匯入」和「匯出」按鈕可共用包含不同策略的清單。
      • 核可清單」支援使用萬用字元。
        如需詳細資訊,請參閱例外清單萬用字元支援
    3. 請點選「新增」。
    4. 如果要從清單中移除封鎖的或核可的程式,請點選程式旁的垃圾桶圖示 (icon_trash_bin=GUID-66C31AA2-6B0F-4D40-9477-CFD321AE3A83=1=zh-tw=Low.jpg)。
      注意
      注意
      Apex One 最多可接受合併總計 1024 個核可的程式和封鎖的程式。