設定行為監控

步驟

1. 請執行下列其中一項以移至「設定策略」畫面：
   • 傳統模式：移至「Security Agent」，然後選取一個群組。按一下「 → 設定策略」。
   • 進階模式：移至「策略 → 策略管理」。按一下「新增」或按一下現有的策略。
2. 按一下「 Windows」。
3. 移至「行為監控」。
4. 在「行為監控」下，啟動此功能並進行所需設定。
5. 在「惡意程式行為封鎖」區段中，啟動此功能，然後指定要封鎖的安全威脅類型。
   • 封鎖已知和潛在的安全威脅：封鎖與已知威脅相關聯的行為，並對可能是惡意的行為採取處理行動
   • 封鎖已知的安全威脅：封鎖與已知惡意程式安全威脅相關聯的行為
6. 在「勒索軟體防護」區段中，選取您要啟動以抵禦勒索軟體安全威脅的功能。
   • 保護文件以防止未經授權的加密或修改：阻止潛在的勒索軟體安全威脅加密或修改文件內容
     • 自動備份與恢復遭可疑程式變更的檔案：在偵測到勒索軟體安全威脅時，為端點上要加密的檔案建立備份複本，以防任何資料遺失

       注意 自動檔案備份需要用戶端端點上至少有 100 MB 的磁碟空間，而且僅會備份大小小於 10 MB 的檔案。

   • 封鎖通常與勒索軟體相關的程序：在加密和修改文件之前，封鎖與已知勒索軟體安全威脅相關的處理程序
   • 啟動程式檢測，以偵測並封鎖遭到入侵的可執行檔：程式檢測可監控處理程序並執行 API 攔截，以判斷程式是否表現出非預期的行為。雖然此程序可提高對遭到入侵的可執行檔的整體偵測率，卻可能會導致系統效能降低。
7. 在「弱點攻擊防護」下，啟動「如果程式展現出與弱點攻擊有關的異常行為，請將其終止」，以防範可能遭到攻擊的程式。
8. 在「Intuit QuickBooks 防護」下，啟動「防止未經授權對 QuickBooks 檔案和資料夾進行變更」，來防止所有 Intuit QuickBooks 檔案和資料夾遭受其他程式未經授權的變更。此功能不會影響從 Intuit QuickBooks 程式內部進行的變更。
   支援的產品如下：

   • QuickBooks Simple Start
   • QuickBooks Pro
   • QuickBooks Premier
   • QuickBooks Online

   注意 所有的 Intuit 執行檔都會有數位簽章，這些檔案的更新將不會遭到封鎖。如果其他嘗試變更 Intuit 二進位檔案的程式，則代理程式會顯示一則訊息，其中包含正在嘗試更新二進位檔案的程式名稱。允許其他程式更新 Intuit 檔案。如果要這樣做，請將所需的程式新增至代理程式的「行為監控例外清單」中。在更新之後，請記得將該程式從例外清單中移除。

9. 在「事件監控」區段中：
   1. 啟動事件監控。
   2. 按一下 以在「指定受監控的系統事件」下方展開系統事件清單。
   3. 選擇要監控的系統事件，並針對所選取的每個件選取處理行動。
      如需有關監控的系統事件和處理行動的資訊，請參閱事件監控。
10. 按一下「儲存」。