配置终端保护

本文解释如何配置Cato的终端保护（EPP）解决方案以保护您的终端。

概述

Cato 的 EPP 解决方案包括三种类型的 EPP 引擎：文件保护，可扫描端点上的文件；行为分析，可扫描端点上运行的进程；以及防漏洞，可保护软件漏洞。您的EPP设置在Cato管理应用程序中配置，提供了一种集中管理整个攻击面安全性的方式。在终端保护配置文件中，您可以配置每个引擎的保护级别，以定义它如何应对潜在威胁。使用终端保护策略将终端保护配置文件应用于最终用户或端点。

您可以将文件或进程添加到允许列表，以防止合法文件或进程被识别为恶意。此外，为了增加保护，您可以对特定端点运行按需扫描。

注意

注意：由于地区限制，位于中国的设备无法将其 EPP 注册到 Cato。

EPP引擎

为了保护您的端点免受已知和未知恶意软件的攻击，Cato的EPP解决方案提供了三层保护，形成完整的安全解决方案。每一层都利用不同的检测技术来识别和防止不同类型的攻击。

反恶意软件（文件保护）

文件保护引擎支持扫描超过 300 种文件类型，包括归档文件、ZIP 文件和 RAR。当文件被下载或复制到端点时，以及当最终用户尝试访问时，会进行扫描。您还可以随时在端点上进行按需扫描所有文件。

行为分析

行为分析引擎使用启发式方法来防护未知和零日威胁。应用程序和进程根据其行为持续监控以发现恶意活动的指示。恶意行为的示例包括：

执行或注入代码到另一个进程的空间以提升权限运行
在需要提升权限的注册表位置访问或执行非法操作
在系统或Windows文件夹中复制或移动文件

反漏洞利用

注意

注意: 支持EPP v1.1及以上版本

反漏洞利用引擎使用机器学习来防护已知和未知威胁，这些威胁利用软件漏洞。系统进程、浏览器、Microsoft Office和Adobe Reader被持续监控以检测用于利用软件漏洞的技术。检测到的技术示例包括：

权限提升：进程试图获得未经授权的权限和资源访问
进程自省：尝试收集关于运行进程、系统资源、内存使用和其他关键数据的详细信息
LSASS凭据转储：试图访问LSASS进程的内存并提取敏感的认证凭据

威胁响应

在EPP引擎识别出潜在恶意活动后，保护设置定义了EPP采取的操作。此外，对于行为分析引擎，您可以定义其识别未知威胁的灵敏度。

下表描述了每个保护级别及其示例用例。

保护	描述	示例用例
关闭	EPP扫描不运行，也不创建任何事件。	您不想使用此EPP引擎。
监控	如果识别出恶意活动则会创建一个事件，但不采取进一步措施。	您希望收集恶意文件或进程的数据，而不阻止其执行。
阻止	恶意文件或进程无法被执行。文件不会被修改或从其位置移动。这是行为分析和反漏洞利用引擎的默认设置。	您希望识别并阻止恶意文件或进程。
阻止并调整	恶意文件或进程无法执行。文件被加密并隔离，或者如果不可能，则删除文件。这是反恶意软件的默认设置。	您希望识别、阻止和隔离恶意文件或进程。
终止	终止受感染的应用程序进程。	您需要终止恶意进程以避免其继续运行。
终止并修复	终止受感染的进程，如果成功，清除恶意软件痕迹。这可能包括还原文件更改、删除注册表键、卸载服务等。	您想要终止进程并确保删除任何持久性。
终止进程	终止被利用的应用程序进程及任何可能关联的进程	终止注入代码到被利用进程的进程。

行为分析启发式灵敏度级别

行为分析引擎基于预测模型和学习启发式检测潜在威胁。引擎的灵敏度级别确定识别潜在威胁的信任等级。例如，积极设置将识别出对于进程为恶意的低级别的确定性。此设置可能导致更多误报。

下表描述了灵敏度级别及其示例用例。

灵敏度级别	描述	示例用例
宽容	仅检测被确定为恶意的进程，且确定性非常高。这是灵敏度最低的设置。	您只想检测那些确定是恶意的进程。
平衡	检测确定为恶意的进程，且确定性高。	您希望检测可能是恶意的进程。
积极	检测被确定为恶意的进程，但确认度较低。这是最高敏感度的设置。	您希望检测到可能但不确定是恶意的进程。

配置终端保护设置

要定义EPP如何在您的账户中保护端点，请使用EPP 配置文件定义每个引擎的保护级别。然后使用EPP策略中的规则定义配置文件适用的端点范围。 配置文件可以应用于特定的终端用户、特定的端点或两者。

EPP策略是有序的规则库。策略中的规则按顺序应用于文件和进程以检查是否匹配规则。规则库顶部的规则优先级较高，因为它们在较低的规则之前应用。例如，如果规则#1具有文件保护阻止响应并适用于识别到恶意文件的端点，则文件被阻止。不再对文件应用其他规则。最终默认规则将默认配置文件应用于所有端点，且无法编辑。

定义端点保护配置文件

EPP 配置文件定义了文件保护和行为分析引擎的保护设置。您可以根据EPP 策略的要求定义不同的配置文件。

要定义端点保护配置文件：

从导航菜单中，点击安全性 > 终端保护。
点击配置文件标签页。
点击新建。

创建新的端点保护配置文件面板打开。
定义配置文件的设置。
点击应用然后点击保存。

创建端点保护策略

用来源和配置文件定义EPP 策略中的规则。来源可以是基于终端 ID的终端用户身份或端点设备。您还可以设置应用于每个终端用户或端点(来源)的保护级别(配置文件)。这使您可以自定义在环境中每个端点使用每个EPP引擎的方式。

要创建端点保护策略：

从导航菜单中，点击安全性 > 终端保护。
点击新建。

创建新的端点保护策略规则面板打开。
为此规则定义名称、描述、来源和配置文件。
(Optional) Configure tracking options to generate Events and Send Notification

For more information about notifications, see the relevant article for Subscription Groups, Mailing Lists, and Alert Integrations in the Alerts section.
点击应用。
对EPP策略中的每个规则重复步骤2-5。
启用EPP策略并点击保存。

滑块（）在EPP启用时为绿色，禁用时为灰色。

允许EPP文件和路径

有时，EPP引擎可能会将合法的商业流程视为恶意。为防止终端保护中断合法的商业流程，您可以为终端用户或在端点(来源)允许一个对象。这意味着它既不被扫描、也不被阻止或移动。对于按需扫描，可能会触发事件并采取“忽略”作为缓解措施。文件扫描不会创建任何事件。

以下对象可以为终端用户、端点或两者允许执行：

注意

注意： 文件路径被反恶意软件和行为分析引擎允许。其他对象仅供反恶意软件引擎允许。

文件路径
文件夹路径
文件类型
SHA256 File Hash

定义允许列表的对象：

从导航菜单中，点击安全性 > 终端保护。
点击允许列表标签页。
点击新建。

新建允许列表面板打开。
定义允许的名称、描述、对象和来源。
点击应用。
对每个允许的对象重复步骤 3-5。
点击保存。

按需文件保护扫描

文件保护扫描在文件下载或复制到端点时以及最终用户尝试访问时运行。此外，您可以随时在端点上按需运行文件保护扫描。通过运行按需文件保护扫描，您可以在最终用户尝试访问之前识别端点上的现有恶意软件。

按需扫描将已保存到端点上的所有文件的SHA256 哈希值与已知恶意软件签名列表进行比较。如果检测到恶意文件，EPP将遵循策略定义的操作。

运行按需文件保护扫描

通过运行按需扫描，随时可以在端点上识别恶意文件。这些扫描不会在安装代理后运行，只有在从Cato管理应用程序触发后才会运行。

要运行按需文件保护扫描

从导航菜单中，点击访问 > 已受保护的端点。

已受保护的端点屏幕显示。
点击您想扫描的端点上的三个点（）。
点击扫描端点。

文件保护扫描运行在端点上。

测试EPP解决方案

在端点上安装EPP代理后，您可以测试该解决方案，以确保其根据您的策略配置阻止恶意活动。

要测试EPP解决方案：

在已安装代理的端点上，下载并尝试运行EICAR测试文件。
尝试打开并运行该文件。

注意: 如果文件的下载被您的网络安全解决方案或浏览器阻止，请复制EICAR文件中的文本，将其粘贴到新建的.txt文件中并保存。
如果EPP解决方案正确安装并启用，文件的行为将符合您的配置策略，并创建一个事件。

了解数据库更新的频率

当EPP引擎扫描文件或进程时，会将其与已知恶意活动数据库进行比较。这些数据库会定期自动更新，以确保EPP引擎能够防护最新威胁。

数据库更新的状态在EPP代理的状态标签页中可见。

数据库更新的频率为：

恶意软件DB: 每1小时
CTC DB: 每24小时（此数据库用于跨引擎校正）
行为DB: 每2小时
漏洞DB: 每2小时

包含已知合法文件的数据库在不需要扫描的情况下每4小时更新一次。