شبکه و فناوری

شناسایی حملات ویروس ها و بدافزارها با Symantec Messaging Gateway 

  • ارسال توسط
شناسایی حملات ویروس ها و بدافزارها با Symantec Messaging Gateway
20 اکتبر

در این مقاله قصد داریم در مورد نحوه شناسایی حملات ویروس ها و بدافزارها با Symantec Messaging Gateway  صحبت کنیم. ویروس ها و انواع دیگر حملات مخرب می توانند باعث خرابی سرور ایمیل، خرابی شبکه و به خطر انداختن و از بین رفتن داده های شرکت شوند. اسکن بدافزار Symantec Messaging Gateway تشخیص ویروس و تهدیدهای مخرب را در جریان ایمیل شما فراهم می کند. شما برای محافظت از سرور خود در برابر انواع حملات زیر، خط مشی های مخرب ایجاد می کنید :

ویروس ها : Symantec Messaging Gateway ویروس ها، کرم ها و تروجان را در همه انواع اصلی پرونده (به عنوان مثال، فایل های Microsoft Word)، از جمله فرمت های فایل فشرده، شناسایی می کند.

کرم های ارسال کننده انبوه : Symantec Messaging Gateway تشخیص می دهد که یک پیام ایمیل یک کرم یا ویروس ارسال کننده انبوه است. این می تواند پیام ایمیل آلوده و هر پیوست را به طور خودکار حذف کند.

پیوست های مشکوک : Symantec Messaging Gateway پیام های ایمیل را که علائم شبیه ویروس را دارند، نشان می دهند. همچنین پیام های حاوی الگوی جدید مشکوک از جریان پیام که شامل پیوست های پیام ایمیل است را، تشخیص می دهد.

پیوست های رمزگذاری شده : فایل های آلوده را می توان عمدا رمزگذاری کرد. فایل های رمزگذاری شده را نمی توان بدون ابزار رمزگشایی مناسب رمزگشایی و اسکن کرد. می توانید پیکربندی کنید که چگونه می خواهید Symantec Messaging Gateway پرونده های محفظه رمزگذاری شده را پردازش کند.

محتوای بالقوه مخرب : فناوری خنثی سازی Symantec Messaging Gateway محتوای بالقوه مخرب (PMC) را از پیوست های ایمیل، از جمله اسناد Microsoft Office و PDF های Adobe PDF شناسایی و حذف می کند. می توانید سند و انواع محتوا را در حالت خلع سلاح پیکربندی کنید. می توانید ماکرو ها، جاوا اسکریپت، فلش و سایر محتوای قابل استفاده را خلع سلاح کنید.

ابزار های تبلیغاتی مزاحم و جاسوسی : Symantec Messaging Gateway خطرات امنیتی را شناسایی می کند که هر کدام از موارد زیر را انجام می دهد :

  • دسترسی غیرمجاز به سیستم های رایانه ای
  • سرقت هویت یا کلاهبرداری با ورود کلید ها
  • ضبط ترافیک ایمیل
  • برداشت اطلاعات شخصی مانند گذرواژه و شناسه ورود
  • ارائه برخی از انواع اختلال یا مزاحمت

Symantec Messaging Gateway باید قادر به تجزیه و اسکن یک فایل برای تشخیص ویروس ها باشد. شما می توانید حداکثر اندازه و سطوح عمق اسکن فایل های کانتینر را تعیین کنید تا از قرار گرفتن در معرض ویروس های زیپ یا حملات منع سرویس جلوگیری کنید. وقتی Symantec Messaging Gateway پیامی را اسکن کرده و نقض خط مشی بدافزار را تشخیص دهد، حکمی را که در آن خط مشی مشخص کرده اید، انجام می دهد. برای انجام عملکرد های اسکن آنتی ویروس و به دست آوردن تعاریف ویروس به روز شده، باید مجوز آنتی ویروس معتبری داشته باشید. برای محافظت بیشتر، می توانید Symantec Messaging Gateway را با Symantec Content Analysis ادغام کنید تا فایل ها و پیوست ها را برای تهدید های پیشرفته اسکن کند.

بیشتر بخوانید: Symantec Messaging Gateway چیست و چگونه کار می کند؟

شناسایی حملات ویروسی با Symantec Messaging Gateway

فناوری هایی که ویروس ها و حملات مخرب را تشخیص می دهند، فناوری هایی را توصیف می کند که Symantec Messaging Gateway برای تشخیص ویروس ها، حملات مخرب و محتوای بالقوه مخرب استفاده می کند.

موتور آنتی ویروس: از طریق یک سیستم اسکن چند رشته ای، محافظت سریع و قابل اطمینان از ویروس را فراهم می کند. ترافیک ایمیل ورودی و خروجی را اسکن می کند. این برنامه پیام های حاوی ویروس و اجزای مخرب مرتبط را شناسایی و پاک می کند. همچنین سعی می کند ویروس ها را در پیوست های ایمیل ترمیم کند. خود موتور آنتی ویروس قابل تغییر نیست.

فناوری هوش مصنوعی: این محصول از فناوری هوش مصنوعی ایستا و پویا برای تشخیص رفتار های مشابه ویروس برای شناسایی ویروس های ناشناخته استفاده می کند. شما می توانید تنظیمات حساسیت هوش مصنوعی را برای شناسایی کم و بیش تهاجمی ویروس ها تنظیم کنید.

تعاریف ویروس: تعاریف ویروس هر ساعت در دسترس است تا در برابر جدیدترین تهدیدات سریع گسترش یابد. Symantec LiveUpdate فرایندی است که طی آن دستگاه تعاریف فعلی ویروس را دریافت می کند. به طور پیش فرض، دستگاه تعاریف ویروس دارای مجوز را بارگیری می کند. می توانید نحوه و زمان پیکربندی تعاریف به روز شده را پیکربندی کنید.

خط مشی های آنتی ویروس: شما می توانید سیاست هایی برای تشخیص ویروس ها یا حملات مخرب ایجاد کنید. هنگام ایجاد خط مشی، اقدامی را که می خواهید Symantec Messaging Gateway در صورت نقض خط مشی انجام دهد، مشخص می کنید. به عنوان مثال، می توانید پیوست های آلوده را اصلاح کنید، اما پیوست های نرم افزار های جاسوسی را به طور کامل حذف کنید. شما می توانید به همان میزان که نیاز دارید، سیاست های آنتی ویروس ایجاد کنید.

تشخیص روز صفر یا Day-zero detection : این ویژگی از نمای Symantec تهدیدات ایمیل و همچنین تجزیه و تحلیل اکتشافی برای شناسایی پیوست مشکوک قبل از در دسترس بودن تعاریف آنتی ویروس، استفاده می کند. پیام های حاوی پیوست های مشکوک را می توان به قرنطینه ویروس مشکوک منتقل کرد. Symantec پیام را در مدت زمانی که شما تعیین کرده اید (تا 24 ساعت) در قرنطینه نگه می دارد. سپس پیام را منتشر می کند تا دوباره با تعاریف ویروس به روز شده اسکن شود. شما می توانید خط مشی های مربوط به ویروس را که حاوی احکامی برای قرنطینه پیوست های پیام مشکوک است، ایجاد کنید. همچنین می توانید مدت زمان پیوست را در قرنطینه مشکوک ویروس پیکربندی کنید.

Disarm : خلا سلاح یا Disarm پیوست های ایمیل اسناد مایکروسافت آفیس و PDF را که ممکن است حاوی محتوای مخرب احتمالی (PMC) باشد، اسکن می کند. این محتوا شامل ماکرو ها، فیلم های فلش و سایر محتوای قابل استفاده است. خلع سلاح پیوست هایی را که حاوی محتوای مخرب بالقوه (PMC) هستند،دوباره درست می کند، PMC را حذف می کند، سپس پیوست های تمیز شده را بازسازی و تحویل می دهد. شما می توانید انواع سند و انواع PMC را انتخاب کنید که بر روی آنها اقدام به حذف یا بازسازی کنید. همچنین می توانید اسناد اصلی بدون تغییر را برای بازیابی بعدی بایگانی کنید.

دفاع تهدید : Symantec Messaging Gateway را با Symantec Content Analysis برای تشخیص تهدیدات پیشرفته، ادغام می کند. سپس Symantec Messaging Gateway سیاست های دفاع از تهدید را برای پیام های ایمیل اعمال می کند. هنگامی که خلع سلاح را برای انواع محتوا در Malware > Settings > Email Scan Settings > Disarm می کنید، سیاست های دفاع از تهدید نیز می تواند پیوست ها را خلع سلاح کند.

درباره فناوری خلع سلاح یا Disarm

خلع سلاح در Symantec Messaging Gateway محتوای احتمالی مخرب (PMC) را از پیوست های ایمیل پیدا کرده و حذف می کند. برای تشخیص پیوست های Microsoft Office و Adobe PDF که ممکن است حاوی PMC باشند، می توانید پیام های ورودی و پیام های خروجی را اسکن کنید. انواع PMC شامل ماکرو ها، اسکریپت ها، محتوای Flash و سایر محتوای قابل استفاده است.

توجه : خلع سلاح تعیین نمی کند که آیا محتوایی که تشخیص داده و حذف می کند، مخرب است یا خیر. در عوض، وجود انواع محتوای مشخص شده در انواع اسناد مشخص که امکان سو استفاده دارند را تشخیص می دهد و آنها را حذف می کند. هنگامی که خلع سلاح فعال است، وجود PMC را در سند پیوست تشخیص می دهد، پیوست را ساختارشکن می کند، PMC را حذف می کند و سند را بازسازی می کند. شما می توانید سند و انواع PMC را برای حذف آنها انتخاب کنید. همچنین می توانید اسناد اصلی را برای بازیابی بعدا بایگانی کنید.

خلع سلاح به عنوان فرمت ویژگی تشخیص روز صفر Symantec Messaging Gateway اجرا می شود. این قابلیت Symantec Decomposer را به موارد زیر گسترش می دهد :

  • محتوای بالقوه مضر (ماکرو ها، اسکریپتها، محتوای ناشناخته و …) را فیلتر کنید.
  • محتوای بالقوه مضر را با نسخه های خوش خیم یا بازسازی شده جایگزین کنید.
  • اسناد کانتینر را بازسازی کرده و مجدداً به پیام ایمیل اتچ کنید.

خلع سلاح اسکن پیوست های رمزگذاری شده یا محافظت شده با گذرواژه را پشتیبانی نمی کند و همچنین پیوست هایی که با استفاده از قالب های پشتیبانی نشده (مانند RAR) فشرده می شوند، پشتیبانی نمی کند. اگر یک سند پشتیبانی شده در داخل سایر اسناد پشتیبانی شده باشد، Disarm اسناد را تا زمانی که آخرین سند تو در تو را پردازش نکند یا به محدوده نرسد، ساختار شکنی می کند. خلع سلاح سپس PMC را از نوع پشتیبانی حذف می کند و اسناد را بازسازی و مجدداً اتچ می کند.

تذکر : حذف PMC و بازسازی اسناد ممکن است بر بازده و عملکرد بصری تأثیر بگذارد. قالب بندی متن یا تصاویر ممکن است در سند بازسازی شده متفاوت به نظر برسد. اگر اسناد اصلی حاوی عناصری مانند فیلد های ورودی متن باشند که با ماکرو پیاده سازی شده اند، ممکن است عملکرد از بین برود. اگر بخواهید فایل های پیوست شده و پیوست ها را از یک پیام حذف کنید، محتوا نیز از بین می رود.

خلع سلاح همچنین ممکن است بر روی سرعت کارکرد کلی Symantec Messaging Gateway تأثیر بگذارد، به خصوص اگر اسکن تمام پیوست های پشتیبانی شده و انواع PMC را انتخاب کنید. برای فعال کردن خلع سلاح، تنظیمات را برای تعیین انواع محتوا برای خلع سلاح فعال می کنید. سپس یک بدافزار یا خط مشی دفاعی تعیین می کنید که از خلع سلاح استفاده می کند و این خط مشی را برای یک گروه سیاست اعمال می کنید. همچنین می توانید یک عمل فیلتر کردن محتوا را انتخاب کنید که به شما امکان می دهد خلع سلاح را دور بزنید.

استفاده از خلع سلاح برای حذف محتوای مخرب بالقوه

استفاده از خلع سلاح برای حذف محتوای مخرب احتمالی برخلاف سایر سیاست های بدافزار ایمیل، اقدام سیاست Disarm: Disarm attachment به طور پیش فرض فعال نیست، اگرچه فعال است. برای فعال سازی آن :

  • یک خط مشی بدافزار ایمیل را پیکربندی کنید که انواع مشخص شده PMC را در اسناد محتوا شناسایی کرده و شامل اقدام برای خلع سلاح PMC می شود.
  • این خط مشی را برای یک یا چند گروه سیاست اعمال کنید. همچنین می توانید پیام هایی را که PMC از آنها حذف شده است یادداشت کنید، خط موضوع را علامت گذاری کرده و پیام های اصلی را برای بازیابی بعدی بایگانی کنید. هر اقدامی که می تواند به سایر خط مشی های بدافزار اضافه شود، می تواند به سیاست پیوست Disarm: Disarm attachment نیز اضافه شود.

نکته : همچنین می توانید خط مشی های دفاعی تهدید را برای استفاده از خلع سلاح پیکربندی کنید. خلع سلاح محتوای مخرب بالقوه وظایفی را که برای شناسایی و حذف محتوای مخرب انجام می دهید، توصیف می کند. شما می توانید وظایف را به هر ترتیب انجام دهید.

تنظیمات اسکن ایمیل را برای مشخص کردن سند و انواع PMC را برای حذف پیکربندی کنید. در صفحه بدافزار یا Malware، تنظیمات ایمیل اسکن Email Scan Settings و سپس تب خلع سلاح Disarm را انتخاب کنید. مشخص کنید که کدام نوع سند شناسایی شود و در هر نوع سند، نوع محتوای مخرب را برای خلع سلاح مشخص کنید. همچنین اگر متوجه شدید پیوست های PDF تحت تأثیر خلع سلاح قرار می گیرند، می توانید PDF های غیرمتناسب Preprocess را فعال کنید.

پیش فرض یا Default را انتخاب کرده یا خط مشی های جدیدی را برای خلع سلاح ایجاد کنید. Symantec Messaging Gateway دارای یک سیاست خلع سلاح پیش فرض است که فعال است اما برای هیچ گروهی از کاربران اعمال نمی شود. می توانید از این خط مشی پیش فرض به صورت واقعی استفاده کنید یا آن را تغییر دهید تا خط مشی سفارشی خود را ایجاد کنید. همچنین می توانید قابلیت تشخیص PMC را به سایر خط مشی های موجود اضافه کنید.

برای استفاده از خط مشی پیش فرض PMC : در صفحه سیاست های بدافزارهای رایانامه، ضمیمه سیاست  Disarm: Disarm attachment را انتخاب کنید. در قسمت Actions، خلع سلاح پیوست (ها) Disarm attachment را انتخاب کرده و روی Save کلیک کنید.

ایجاد خط مشی های بدافزار ایمیل

خط مشی خلع سلاح را در گروه سیاست اعمال کنید. می توانید خط مشی خلع سلاح را به یکی از دو روش به گروه های خط مشی اعمال کنید:

در صفحه سیاست های بدافزار ایمیل Email Malware Policies، ضمیمه Disarm: Disarm attachment را انتخاب کنید. در قسمت Actions به گروه های خط مشی زیر، گروه های سیاست مورد نظر را انتخاب کرده و روی Save کلیک کنید.

در برگه مدیریت، در قسمت Users ، Group Groups را انتخاب کنید. یک گروه خط مشی از لیست انتخاب کرده و بر روی تب Malware کلیک کنید. خنثی سازی را فعال کنید : سیاست پیوست را برای اسکن بدافزار خلع سلاح کنید و روی Save کلیک کنید. توجه داشته باشید که خلع سلاح به طور پیش فرض برای اسکن ورودی اعمال می شود ، اما می توانید پیوست های خروجی را نیز خلع سلاح کنید.

سایر اقدامات مربوط به خط مشی های خلع سلاح را مشخص کنید. هرگونه اقدام قابل افزودن به سایر خط مشی های بدافزار نیز می تواند به خط مشی خلع سلاح اضافه شود. به عنوان مثال، می توانید پیام هایی را که PMC از آنها حذف شده است یادداشت کنید، پیام ها را با PMC قرنطینه کنید و پیام های اصلی را برای بازیابی بعدی بایگانی کنید. درباره بازیابی محتوای خلع سلاح گزارشات را نظارت کنید.

گزارشات را برای ردیابی تشخیص و سیاست های PMC بررسی کنید. گزارشات همچنین نشان دهنده حجم تهدیدات احتمالی است که سازمان شما دریافت می کند. این اطلاعات می تواند به شما در تنظیم دقیق تنظیمات تشخیص تهدید کمک کند.

جزئیات محتوای بالقوه مخرب و ویروسی

Symantec Messaging Gateway می تواند محتوای مخرب بالقوه را در چندین نوع پیوست رایج رایانامه (Word ، Excel ، PowerPoint ، PDF) تشخیص دهد. محتویات محتوای مخرب و جزئیات نوع محتوا هر نوع PMC را فهرست کرده و شرح می دهد و پیامد های حذف آن را از یک سند توضیح می دهد. حذف محتوای مخرب احتمالی (PMC) از پیوست های ایمیل با خلع سلاح ممکن است بر بازده بصری و عملکرد در اسناد بازسازی شده تأثیر بگذارد. به عنوان مثال، اگر فونت های جاسازی شده حذف شوند و فونت های سیستم جایگزین شوند، ممکن است ظاهر یک سند تغییر کند.

اگر اسناد اصلی حاوی عناصری (مانند فرم های ورودی متن) با ماکرو ها باشند، ممکن است عملکرد از بین برود. فیلدهای ورودی ممکن است هنوز در اسناد بازسازی شده وجود داشته باشند، اما پس از خلع سلاح پیوست، دیگر نمی توانند اعتبار ورودی یا بازخورد بصری را ارائه دهند. به طور مشابه، اگر جاوا اسکریپت حذف شود، اقدامات ماوس یا ورودی صفحه کلید که توسط جاوا اسکریپت کنترل می شود دیگر کار نمی کند.

حذف PMC همچنین می تواند باعث از بین رفتن جهانی عملکرد بیشتر در یک سند یا حتی از دست دادن محتوا شود. به عنوان مثال، اگر همه ماکروهای اسناد مایکروسافت آفیس را خلع سلاح کنید، یک صفحه گسترده Excel که از ماکروها استفاده می کند ممکن است دیگر آنطور که باید کار نکند. به طور مشابه، اگر تصمیم به بازسازی فایل ها و پیوست های جاسازی شده از طریق یک پیام ایمیل دارید، محتوای پیوست شده یا جاسازی شده که خلع سلاح از آن پشتیبانی نمی کند حذف می شود. تنها راه برای حفظ محتوای اصلی با همه قابلیت های آن، بایگانی همه پیام ها با پیوست است.

برای بایگانی پیام ها، ابتدا مکان ذخیره آرشیو را مشخص می کنید. سپس ” Archive the message” را به عنوان اقدام برای خط مشی یا خط مشی های خلع سلاح خود تعیین می کنید. در صفحه Edit Email Malware Policy، در قسمت Actions، روی Add کلیک کرده و از فهرست کشویی ” Configure an action “، ” Archive the message” را انتخاب کنید.

چه کارهایی می توانید با پیوست های مشکوک انجام دهید؟

هنگام ایجاد خط مشی و انتخاب شرط ” If a message contains a suspicious attachment”، گزینه های اضافی به شرح زیر در دسترس قرار می گیرد :

Hold message in Suspect Virus Quarantine، این گزینه را برای قرنطینه پیام و همه پیوست ها انتخاب کنید.

Strip and Delay in Suspect Virus Quarantine، این گزینه را برای حذف پیوست مشکوک و قرنطینه پیام انتخاب کنید. وقتی این گزینه را انتخاب می کنید، پیوست مشکوک بازیابی نمی شود. هر دوی این اقدامات پیام را به قرنطینه منتقل می کند. پس از مدت زمان مشخص شده، پیام ها مجدداً اسکن می شوند. با این حال ، این بار پیام ها با جدیدترین تعاریف موجود اسکن می شوند.

جاسوس افزارها یا جزئیات حکم ابزار های تبلیغاتی مزاحم 

Symantec Messaging Gateway می تواند خطرات امنیتی را تشخیص دهد. خطرات امنیتی برنامه هایی هستند که هر یک از موارد زیر را انجام می دهند :

  • دسترسی غیرمجاز به سیستم های رایانه ای
  • به خطر انداختن تمامیت داده ها، حریم خصوصی، محرمانه بودن یا امنیت
  • ارائه برخی از انواع اختلال یا مزاحمت Symantec Messaging Gateway حکم جاسوس افزار یا ابزار تبلیغاتی مزاحم را برای همه اعمال می کند. خطرات امنیتی که تشخیص می دهد. رده های خطر امنیتی شامل نرم افزار های جاسوسی یا محتوا های تبلیغاتی مزاحم، دسته بندی خطرات امنیتی است که Symantec Messaging Gateway تشخیص می دهد.

دسته های خطر امنیتی شامل نرم افزارهای جاسوسی یا رایانه های تبلیغاتی مزاحم :

Adware – برنامه های مستقل یا برنامه های پیوست که اطلاعات شخصی را از طریق اینترنت جمع آوری کرده و بدون اطلاع کاربر به رایانه ای از راه دور منتقل می کنند. Adware ممکن است عادت های جستجو را برای اهداف تبلیغاتی کنترل کند. همچنین می تواند محتوای تبلیغاتی را ارائه دهد. ابزار هک- برنامه هایی که برای دسترسی غیرمجاز به رایانه کاربر استفاده می شود. به عنوان مثال، یک ثبت کننده فشار کلید، تک تک کلید ها را ردیابی و ثبت می کند و این اطلاعات را به یک رایانه از راه دور ارسال می کند. کاربر از راه دور می تواند اسکن پورت یا اسکن آسیب پذیری را انجام دهد. از ابزارهای هک نیز می توان برای ایجاد ویروس استفاده کرد.

شماره گیرها – برنامه هایی که از رایانه بدون اجازه یا اطلاع کاربر برای شماره گیری از طریق اینترنت به شماره 900 یا سایت FTP استفاده می کنند. این برنامه ها به طور معمول برای جمع آوری هزینه است.

برنامه های جوک – برنامه هایی که عملکرد رایانه را به طریقی طنزآلود یا مزاحم تغییر داده یا قطع می کنند. به عنوان مثال، هنگامی که کاربر سعی می کند ماوس را به سمت سطل زباله ببرد، یک برنامه شوخی می تواند آن را از ماوس دور کند.

برنامه های دسترسی از راه دور – برنامه هایی که به کاربر از راه دور اجازه می دهد از طریق اینترنت به رایانه دسترسی داشته باشد تا اطلاعات را بدست آورد، به کامپیوتر میزبان حمله کرده یا آن را تغییر دهد.

Spyware – برنامه های مستقل که می توانند فعالیت سیستم را مخفیانه کنترل کنند. این برنامه ها می توانند رمز های عبور و سایر اطلاعات محرمانه را شناسایی کرده و سپس اطلاعات را به رایانه ای از راه دور منتقل کنند.

تشخیص ویروس ها، بدافزارها و تهدیدهای مخرب

تشخیص ویروس ها، بدافزارها و تهدیدات مخرب وظایفی را که می توانید برای تشخیص ویروس ها و تهدیدات مخرب انجام دهید، توصیف می کند. شما می توانید همه یا هر یک از وظایف را به هر ترتیب انجام دهید.

ایمیل تشخیص حمله ویروس، در حمله ویروس ایمیل، مقدار مشخصی از پیام های ایمیل آلوده از یک آدرس IP خاص دریافت شده است. به طور پیش فرض، هرگونه ارتباطی که از فرستنده های متخلف دریافت می شود، به تعویق می افتد. تشخیص حمله ویروس ایمیل به طور پیش فرض غیرفعال است و باید فعال شود تا کار کند. Symantec Messaging Gateway دارای سیاست های بدافزار از پیش تنظیم شده است که به طور خودکار فعال می شوند. می توانید این سیاست ها را تغییر داده و خط مشی های سفارشی خود را ایجاد کنید.

سطح حساسیت هوش مصنوعی را تنظیم کنید. Symantec شامل فناوری هوش مصنوعی استاتیک و پویا است. این فناوری رفتار های غیرمعمول (مانند تکرار) را برای هدف قرار دادن پیام ها و پیوست های پیام آلوده اسکن می کند. تنظیم پیش فرض Medium است. با این حال، می توانید این تنظیم را تغییر دهید یا تشخیص را خاموش کنید. اسکن هوش مصنوعی شامل مبادله ای بین میزان تشخیص بدافزار و موارد مثبت کاذب است. سطوح پایین حساسیت هوش مصنوعی ممکن است بدافزارهای بیشتری را از دست بدهند، اما مثبت کاذب کمتری تولید کنند. سطوح حساسیت بالاتر از هوش مصنوعی ممکن است بدافزارهای بیشتری را جذب کند اما باعث تشخیص مثبت کاذب بیشتر شود. تغییر سطح حساسیت هوش مصنوعی انواع فایل هایی را که می توانند از اسکن آنتی ویروس دور بزنند، مشخص کنید.

می توانید انواع فایل هایی را که می توانند اسکن آنتی ویروس را دور بزنند، مشخص کنید. به عنوان مثال، انواع خاصی از فایل ها معمولاً حاوی ویروس نیستند، مانند فایل های .mpg. انواع فایل هایی که مطمئن هستید حاوی ویروس نیستند می توانند اسکن ویروس را دور بزنند و این باعث صرفه جویی در منابع سیستم می شود. Symantec یک لیست پیش فرض از دسته های نوع فایل ارائه می دهد. اما باید Exclude Scanning Lists را ایجاد کنید، دسته هایی را که می خواهید شامل شوند انتخاب کرده و لیست را فعال کنید. همچنین می توانید انواع فایل ها را از فهرست های فهرست اسکن حذف یا اضافه کنید.

پیکربندی قرنطینه ویروس مشکوک، برای قرنطینه کردن پیوست های پیام مشکوک در قرنطینه مشکوک، می توانید سیاست های ویروسی ایجاد کنید. Symantec مقادیر پیش فرض را برای تنظیمات قرنطینه مشکوک ویروس ارائه می دهد. با این حال، می توانید این تنظیمات را در صورت نیاز تغییر دهید :

  • حداکثر مدت زمان نگهداری پیام ها در قرنطینه تنظیم پیش فرض 6 ساعت است.
  • فضای دیسک برای قرنطینه موجود است تنظیم پیش فرض 10 گیگابایت است. فعال کردن به روزرسانی های تعریف به طور پیش فرض، LiveUpdate فعال است. به روزرسانی های تعریف پلاتینیوم قرار است هر 10 دقیقه از دوشنبه تا جمعه انجام شود. با این حال، شما زمان و نحوه دریافت به روزرسانی ها را تغییر می دهید.

اعلان های هشدار را تنظیم کنید تا به شما اطلاع دهد هر یک از رویداد های مربوط به ویروس زیر رخ می دهد : •

شیوع خرابی تشخیص داده شده است

  • فیلترهای بدافزار قدیمی تر از مدت زمانی است که شما تعیین کرده اید
  • فیلترهای بدافزار جدید موجود است
  • مجوز آنتی ویروس منقضی شده است

گزارش های مانیتور، گزارشات را زیر نظر داشته باشید تا تشخیص دهید که چگونه تشخیص و ویروس ها موثر هستند. گزارشات همچنین نشان دهنده حجم تهدیدهایی است که سازمان شما دریافت می کند. این اطلاعات می تواند به شما در تنظیم دقیق تشخیص آنتی ویروس و تشخیص تهدید کمک کند.

ایجاد خط مشی های بدافزار ایمیل

Symantec Messaging Gateway با چندین خط مشی مخرب از پیش تنظیم شده که به طور پیش فرض فعال هستند، نصب می شود. علاوه بر این خط مشی ها، می توانید خط مشی های سفارشی خود را ایجاد کنید. نامهای خط مشی فیلترینگ محتوا، اسپم و بدافزار باید منحصر به فرد باشد. به عنوان مثال، اگر خط مشی فیلتر کردن محتوا به نام XYZ دارید، نمی توانید از سیاست اسپم یا بدافزار به نام XYZ برخوردار باشید. هنگام ایجاد آنها، خط مشی های بدافزار ایمیل به طور پیش فرض فعال هستند.

برای ایجاد خط مشی های بدافزار ایمیل:

1. در کنترل سنتر، Malware > Policies > Email. را کلیک کنید.

2. روی Add کلیک کنید.

3. در کادر Policy Name، نامی را برای خط مشی بدافزار وارد کنید.

4. در Conditions، روی لیست کشویی Apply to کلیک کنید و انتخاب کنید که سیاست بدافزار برای کدام نوع پیام باید اعمال شود:

هنگامی که یک گروه سیاست را پیکربندی می کنید. به عنوان مثال، فرض کنید پیام های ورودی را انتخاب کرده اید و اگر پیام حاوی یک بدافزار باشد، این خط مشی بدافزار فقط در صورتی که یک گروه خط مشی را پیکربندی کنید، در فهرست خط مشی بدافزار ها در دسترس است.

5. برای انتخاب یک شرط، روی لیست کشویی If the following condition is met کلیک کنید.

6. در بخش Actions، روی add کلیک کنید. در صفحه   Configure An Action، روی لیست کشویی کلیک کنید و یک اقدام را انتخاب کنید. برای برخی از اقدامات باید اطلاعات اضافی را در فیلدهای زیر عمل مشخص کنید. برای مثال، فرض کنید که شما عملکرد Forward a copy of the message را انتخاب کرده اید. یک کادر ظاهر می شود که در آن می توانید آدرس ایمیل شخصی را که می خواهید پیام را به او ارسال کنید تایپ کنید.

7. روی Add Action کلیک کنید. شما می توانید به تعداد مورد نیاز اقدامات اضافه کنید، اما اقدامات نمی توانند با یکدیگر در تضاد باشند.

8. در Policy Groups، یک یا چند گروه را که این خط مشی باید اعمال شود بررسی کنید.

9. روی Save کلیک کنید.

Symantec Messaging Gateway با خط مشی های بدافزار از پیش تنظیم شده نصب می شود. این خط مشی ها به طور پیش فرض فعال هستند و می توانند در گروه سیاست اعمال شوند. می توانید اقدامات خط مشی و گروه های خط مشی که خط مشی ها در مورد آنها اعمال می شود را غیرفعال یا اصلاح کنید. نام خط مشی، نوع پیامی که این خط مشی به آن اعمال می شود و شرطی که باید رعایت شود برای خط مشی های ویروس از پیش تنظیم شده که به عنوان پیش فرض برچسب گذاری شده اند، قابل تغییر نیست.

اصلاح خط مشی های بدافزار ایمیل

می توانید خط مشی های پیش فرض و سفارشی بدافزارهای ایمیل را برای تنظیم دقیق آنها یا گسترش یا کاهش دامنه آنها تغییر دهید. تنظیمات خط مشی بدافزار ایمیل قابل تغییر، تنظیماتی را که می توانید برای خط مشی های پیش فرض بدافزار ایمیل و خط مشی های سفارشی بدافزار ایمیل تغییر دهید، توصیف می کند.

برای تغییر خط مشی های بدافزار ایمیل 1. در کنترل سنتر، روی Malware > Policies > Email کلیک کنید.

  1. کادر کنار خط مشی را که می خواهید تغییر دهید علامت بزنید و سپس روی Edit کلیک کنید. 3. اصلاحاتی را که می خواهید انجام دهید.
  2. روی Save کلیک کنید.

فعال یا غیرفعال کردن خط مشی های بدافزار 

خط مشی های پیش فرض بدافزار ایمیل به طور پیش فرض فعال است. هنگامی که یک خط مشی جدید بدافزار ایمیل ایجاد می کنید، به طور پیش فرض فعال است. می توانید هر سیاستی را که نمی خواهید Symantec Messaging Gateway هنگام اسکن پیام های ایمیل از آن استفاده کند، غیرفعال کنید.

برای عیب یابی مشکلات اسکن بدافزار ایمیل می توانید یک سیاست مخرب را غیرفعال کنید. همچنین می توانید هنگام بروز شیوع، سیاست های سفارشی بدافزار ایمیل ایجاد کنید و سپس با پایان یافتن شیوع، سیاست ها را غیرفعال کنید. در صورت شیوع مجدد، می توانید خط مشی را روشن کنید. همچنین می توانید خط مشی هایی را که دیگر نمی خواهید استفاده کنید اما هنوز نمی خواهید حذف کنید، غیرفعال کنید. برای فعال یا غیرفعال کردن خط مشی های بدافزار ایمیل :

  1. در کنترل سنتر، Malware > Policies > Email. کلیک کنید.
  2. کادر کنار خط مشی را که می خواهید فعال یا غیرفعال کنید، علامت بزنید.
  3. روی یکی از گزینه های زیر کلیک کنید : Enable هنگامی که خط مشی را فعال می کنید، یک علامت سبز در ستون Enabled ظاهر می شود. Disable : هنگامی که یک خط مشی را غیرفعال می کنید، یک خط افقی در ستون فعال ظاهر می شود.

حذف خط مشی های بدافزار ایمیل 

می توانید خط مشی های بدافزار ایمیل را که دیگر به آنها نیازی ندارید حذف کنید. با این حال، وقتی خط مشی را حذف می کنید، خط مشی بازیابی نمی شود. اگر مطمئن نیستید که می خواهید خط مشی را برای همیشه حذف کنید، می توانید آن را غیرفعال کنید. برای حذف خط مشی های بدافزار ایمیل :

  1. در کنترل سنتر، روی Malware > Policies > Email کلیک کنید.
  2. کادر کنار خط مشی ای را که می خواهید حذف کنید، علامت بزنید.
  3. بر روی Delete کلیک کنید.
  4. در کادر محاوره ای تأیید روی OK کلیک کنید.

کپی خط مشی های بدافزار ایمیل

ممکن است مواردی وجود داشته باشد که در آن یک سیاست پیچیده بدافزار ایمیل ایجاد کرده اید و می خواهید یک سیاست مشابه را تنها با چند تفاوت ایجاد کنید. Symantec Messaging Gateway به شما امکان می دهد سیاست های بدافزار ایمیل را کپی کنید. هنگامی که یک خط مشی بدافزار ایمیل را کپی می کنید، خط مشی جدید باید دارای نام منحصر به فردی باشد. به عنوان مثال، اگر خط مشی فیلتر کردن محتوا به نام XYZ دارید ، نمی توانید از سیاست اسپم یا بدافزار به نام XYZ برخوردار باشید. هنگام ایجاد آنها، خط مشی های بدافزار ایمیل به طور پیش فرض فعال هستند. برای کپی خط مشی های بدافزار ایمیل :

  1. کنترل سنتر، Malware > Policies > Email. کلیک کنید.
  2. کادر کنار خط مشی را که می خواهید کپی کنید، علامت بزنید.
  3. روی Copy کلیک کنید.
  4. در صفحه Add Email Malware Policies، نام جدیدی برای این خط مشی وارد کنید.
  5. هرگونه تغییر دیگری را که می خواهید ایجاد کنید.
  6. روی Save کلیک کنید.

منبع: techdocs.broadcom

برچسب ها:
, , ,
جدیدتر فیلتر کردن محتوا در Symantec Messaging Gateway
بازگشت به لیست
قدیمی تر Symantec Messaging Gateway چیست و چگونه کار می کند؟

نوشته های مشابه