McAfee Endpoint Security主防回滚过于激进

显示全部楼层 · 发表于 2019-10-12 13:18:02

家用版的McAfee LiveSafe有RealProtect嗎？

显示全部楼层 · 发表于 2019-10-12 17:38:42

欧阳宣发表于 2019-9-26 03:22
我自己以前遇到个人版里的RP报法全是有回滚的比如RealProtect-EC/LS之类

你说MES主防过于激进但是又说 ...

扫描强调可调，主防强度不可调，只能调整阻止阈值。

rp的ls报法是本地报法，我在企业版的感觉像是运行前跑了一下分析，一般跑起来都是rp的ec，ss，sc报法。

hash拉黑是在gti调成低敏感度的时候才会这样，我说gti报法后面带hash不是说云里面全是hash。

显示全部楼层 · 发表于 2019-10-12 17:42:50

记录微笑发表于 2019-10-12 17:38
扫描强调可调，主防强度不可调，只能调整阻止阈值。

rp的ls报法是本地报法，我在企业版的感觉像是运行 ...

“主防强度不可调，只能调整阻止阈值”那到底可调不可调？

“我在企业版的感觉像是运行前跑了一下分析”有啥证据么

“gti报法后面带hash不是说云里面全是hash” 当然你原话不是这么说的你只是暗示

显示全部楼层 · 发表于 2019-10-12 18:31:19

欧阳宣发表于 2019-10-12 17:42
“主防强度不可调，只能调整阻止阈值”那到底可调不可调？

“我在企业版的感觉像是运行前跑了一下分析 ...

按访问扫描可以调整扫描敏感度，但是主防只能调整触发相应处理措施的阀值。ATP对文件给出了以下评级：已知恶意软件，很有可能是恶意软件，可能是恶意软件，未知，可能可信。有一下处理方法：清理，阻止，封闭。只能调整对应处理方法的触发阀值。但是由于没有统一管理，所以无法访问TIE服务器，拦截威胁只能靠Real Protect Cloud分析，所以对于非系统程序程序一般只会判定为可能可信或者是已知恶意软件，对于cmd，powershell等程序只有很有可能是恶意软件这个评级。所以如果调的阀值低于已知恶意软件的话基本相当于废了。

LS报法之所以我认为是本地分析的原因是每次运行软件都会卡一下，不会出现进程，然后出现RP报法，日志里写的是Real Protect Client。当然我没有去查官方文档，没确定。

显示全部楼层 · 发表于 2019-10-31 10:15:16

轮防御规则定制模块化，麦咖啡是鼻祖

[讨论] McAfee Endpoint Security主防回滚过于激进