使用 Endpoint Central 配置和部署反勒索软件策略

本文您将了解

1. 配置备份策略
2. 配置勒索软件检测策略

反勒索软件策略对于保护组织数据免受基于加密的网络威胁至关重要。这些策略通过启用主动威胁检测和确保数据安全备份来帮助缓解勒索软件攻击，从而在发生事件时能够快速恢复。

配置备份策略

1. 系统备份创建： 此选项启用备份数据的创建并存储在驱动器上。如果禁用，将不会生成备份，且在勒索软件攻击事件中无法恢复数据。
2. 备份配额： 此选项允许管理员为备份分配特定百分比[10-20%]的存储空间。
3. 备份间隔： 定义连续备份之间的时间间隔[60-300分钟]。

配置勒索软件检测策略

1. 勒索软件检测引擎:
   • 预防策略：
     1. 仅审计： 仅审计配置可检测并提醒管理员潜在的勒索软件事件，非常适合初始部署。如果事件被确认是真正的威胁，可通过单击恢复受影响的文件。
     2. 终止进程： 终止进程设置在检测到勒索软件及其相关子进程时立即终止它们。如果事件被确认是真正的威胁，可通过单击恢复受影响的文件。
   • 检测灵敏度：
     1. 标准： 此设置使反勒索软件引擎以平衡的方式提供可靠的保护，确保安全同时减少干扰。
     2. 激进： 该设置执行更严格的规则以增强安全性，但可能导致更多误报。由于其严格的检测标准，通常建议用于评估或测试。
   • 诱饵文件部署： 诱饵文件部署作为勒索软件攻击的陷阱。在指定文件夹中放置隐藏的图像、文本和文档文件，任何访问、修改或删除这些文件的尝试都会触发勒索软件的即时检测，将该进程识别为潜在威胁。
2. 数据外泄检测引擎：
   • 预防策略:
     • 仅审计：检测并警报异常行为。
     • 终止并隔离：在检测到异常数据传输时，立即终止恶意进程及其子进程，防止文件外泄。