Рекомендованные Dell политики для Dell Endpoint Security Suite Enterprise Advanced Threat Protection and Prevention

Advanced Threat Prevention (основной коммутатор)

On

Это значение политики определяет, могут ли клиенты использовать политики Advanced Threat Prevention.

Оно также включает File Actions и Execution Control, которые невозможно отключить.

Execution Control включает в себя «Background Threat Detection» и «File Watcher». Этот модуль в рамках ATP анализирует и аннотирует намерения портативного исполняемого файла (PE) на основе его предполагаемых действий и поведения. Все файлы, обнаруженные Execution Control, а также BTD и File Watcher, обрабатываются на основе политик, коррелирующих с «Auto-Quarantine». Эти действия выполняются на основе абсолютного пути к портативному исполняемому файлу.

Действия с файлами.

Unsafe Executable Auto Quarantine With Executable Control Enabled

Unsafe Executable Auto Upload Enabled

Enabled

Определяет, загружены ли в облако серьезные угрозы для выполнения дополнительной проверки.

Abnormal Executable Auto Quarantine With Executable Control Enabled

Disabled

Этот параметр определяет, будут ли файлы, которые считаются потенциальной угрозой, автоматически помещаться в карантин.

Abnormal Executable Auto Upload Enabled

Enabled

Определяет, будут ли потенциальные угрозы загружаться в облако для выполнения дополнительной проверки.

Allow Execution of Files in Exclude Folders

Enabled

Это относится к политике «Exclude Specific Folders» в группе политик «Protection Settings». Позволяет запускать исполняемые файлы в исключенных папках, даже если они автоматически помещены в карантин.

Auto Delete

Disabled

Это включает таймер для политики «Days until Deleted». Это относится к помещенным в карантин элементам. По истечении таймера «Days until Deleted» все угрозы в папке карантина автоматически удаляются, если эта политика включена.

Days until Deleted

14

Определяет количество дней для каждой угрозы, в течение которых элемент остается в локальной папке карантина.

Memory Actions

Memory Protection Enabled

Enabled

Модуль защиты памяти анализирует и интерпретирует намерения запуска приложений, отслеживая взаимодействие между приложениями и операционной системой в памяти.

Enable Exclude executable files

Enabled

Это позволяет исключить определенные исполняемые файлы из «Memory Protection».

Exclude executable files

Пустой

Все добавленные исключения должны быть указаны с использованием относительного пути к исполняемому файлу (исключая букву диска из пути).

Correct (OS X):
/Users/application.app/executable
Correct (Windows):
\Application\SubFolder\application.exe
Incorrect:
C:\Application\SubFolder\application.exe
Incorrect:
\Application\SubFolder\

Exploitation: Stack Pivot

Alert

Стек для потока был заменен другим стеком. Как правило, компьютер выделяет один стек для потока. Злоумышленник может использовать другой стек для управления исполнением таким образом, чтобы функция предотвращения выполнения данных (DEP) не могла блокировать его.

Применяется к: Windows, Mac

Exploitation: Stack Protect

Alert

Защита памяти стека потока была изменена, чтобы включить разрешение на исполнение. Память стека не должна быть исполняемой, поэтому обычно это означает, что злоумышленник готовится запустить вредоносный код, хранящийся в памяти стека как часть уязвимости. В противном случае функция предотвращения выполнения данных (DEP) заблокировала бы эту попытку.

Применяется к: Windows, Mac

Exploitation: Overwrite Code

Alert

Код, хранящийся в памяти процесса, был изменен с помощью метода, который может указывать на попытку обойти функцию предотвращения выполнения данных (DEP).

Применяется к: Windows

Exploitation: Scanner Memory Search

Alert

Процесс пытается считать действительные данные магнитной полосы из другого процесса. Обычно связаны с POS-терминалами

Применяется к: Windows

Exploitation: Malicious Payload

Alert

Процесс пытается считать действительные данные магнитной полосы из другого процесса. Обычно связаны с POS-терминалами

Применяется к: Windows

Exploitation: Malicious Payload

Alert

Обнаружен общий код оболочки и полезная нагрузка, связанные с эксплойтом.

Применяется к: Windows

Process Injection: Remote Allocation of Memory

Alert

Процесс выделил память в другом процессе. Большинство выделений происходит только в рамках одного процесса. Обычно это указывает на попытку ввести код или данные в другой процесс, что может стать первым шагом в укреплении вредоносного присутствия на компьютере.

Применяется к: Windows, Mac

Process Injection: Remote Mapping of Memory

Alert

Процесс ввел код или данные в другой процесс. Это может указывать на попытку запуска кода в другом процессе и укрепления вредоносного присутствия.

Применяется к: Windows, Mac

Process Injection: Remote Write to Memory

Alert

Процесс изменил память в другом процессе. Обычно это попытка сохранить код или данные в ранее выделенной памяти (см. OutofProcessAllocation), но злоумышленник может попытаться перезаписать существующую память для вредоносной переадресации исполнения.

Применяется к: Windows, Mac

Process Injection: Remote Write PE to Memory

Alert

Процесс изменил память в другом процессе, чтобы она содержала исполняемый образ. Обычно это указывает на то, что злоумышленник пытается выполнить код, не записывая его на диск.

Применяется к: Windows, Mac

Process Injection: Remote Overwrite Code

Alert

Процесс изменил исполняемую память в другом процессе. В нормальных условиях исполняемая память не изменяется, особенно другим процессом. Обычно это указывает на попытку переадресации исполнения в другой процесс.

Применяется к: Windows, Mac

Process Injection: Remote Unmap of Memory

Alert

Процесс удалил исполняемый файл Windows из памяти другого процесса. Это может указывать на намерение заменить исполняемый образ на измененную копию для переадресации исполнения.

Применяется к: Windows, Mac

Process Injection: Remote Thread Creation

Alert

Процесс создал поток в другом процессе. Злоумышленник выполняет это действие для активации вредоносного присутствия, которое было введено в другой процесс.

Применяется к: Windows, Mac

Process Injection: Remote APC Scheduled

Alert

Процесс перенаправил исполнение потока другого процесса. Злоумышленник выполняет это действие для активации вредоносного присутствия, которое было введено в другой процесс.

Применяется к: Windows

Process Injection: DYLD Injection (только для Mac OS X)

Alert

Была установлена переменная среды, которая приводит к тому, что в запущенный процесс вводится общая библиотека. Атаки могут изменить список свойств приложений, таких как Safari, или заменить приложения на сценарии bash, которые приводят к автоматической загрузке модулей при запуске приложения.

Применяется к: Mac

Escalation: LSASS Read

Alert

Доступ к памяти, принадлежащей процессу Windows Local Security Authority, был осуществлен способом, указывающим на попытку получения паролей пользователей.

Применяется к: Windows

Escalation: Zero Allocate

Alert

Выделена пустая страница. Область памяти обычно резервируется, но в определенных обстоятельствах она может быть выделена. Атаки могут использовать эту функцию для настройки эскалации прав доступа, используя некоторые известные неопределенные эксплойты, обычно в ядре.

Применяется к: Windows, Mac

Execution Control

Prevent Service Shutdown from Device

Disabled

Если установлено значение «Enabled», невозможно остановить службу ATP. Это также предотвращает удаление приложения.

Kill Unsafe Running Process and Sub-Processes

Disabled

Включение этой функции позволяет обнаруживать и удалять любые угрозы на основе памяти, которые порождают подпроцессы.

Background Threat Detection

Run Once

Определяет, выполняется ли сканирование существующих файлов на устройстве. Для этого параметра можно установить значение Отключено, Запустить один раз или Запустить повторно.

Если включена политика «Watch For New Files», рекомендуется настроить для «Background Threat Detection» значение «Run Once». Необходимо проверять существующие файлы только один раз, если вы также просматриваете новые и обновленные файлы.

Watch For New Files

Enabled

Установка значения «Enabled» позволяет обнаруживать и анализировать любые файлы, которые были недавно записаны на устройство или изменены.

Set Maximum Archive File Size to Scan

150

Настройка максимального размера распакованного архива, который можно проанализировать Размер в мегабайтах.

Определяет список неотслеживаемых папок в File Watcher. Политика «Разрешить выполнение файлов в папках исключений» запрещает помещать в карантин любые файлы, запущенные из этих каталогов. Эта политика запрещает сканирование этих каталогов для «Watch for New Files» или «Background Threat Detection».

Все добавленные исключения должны быть указаны с использованием абсолютного пути к исполняемому файлу (включая букву диска из пути).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe

Определяет список неотслеживаемых папок в Application Control.

Все добавленные исключения должны быть указаны с использованием абсолютного пути к исполняемому файлу (включая букву диска из пути).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe

Включает использование «Script Control»

«Script Control» отслеживает приложения и службы, которые могут выполнять действия в операционной системе. Эти приложения обычно называются интерпретаторами. ATP отслеживает эти приложения и службы на наличие сценариев, которые пытаются выполниться, и на основе политик уведомляет о предпринятых действиях или блокирует их выполнение. Эти решения принимаются на основе имени сценария и относительного пути выполнения сценария.

Если задано значение «Block», элементы на основе сценариев не выполняются. Это относится к любому активному сценарию, сценарию на основе макросов или сценарию на основе PowerShell. В более поздних версиях они разделены на собственные политики.

Применяется к: 1.2.1371 и более ранние сборки ESSE

Если задано значение «Block», отключает возможность запуска JavaScript, VBScript, batch, Python, Perl, PHP, Ruby и многих других сценариев.

Применяется к: 1.2.1391 и более поздние сборки ESSE.

Если установлено значение «Alert», позволяет анализировать макросы в документах, чтобы определить, выполняются ли в них потенциально вредоносные команды. Если обнаружена угроза, настройка «Block» запрещает запуск макроса. Макросы, запускаемые при запуске системы, могут препятствовать загрузке приложения.

Применяется к: 1.2.1391 и более поздние сборки ESSE.

Если задано значение «Block», предотвращает выполнение сценариев на основе PowerShell в инфраструктуре.

Применяется к: 1.2.1391 и более поздние сборки ESSE.

Если задано значение «Block», консоль PowerShell v3 и ISE не будут запускаться.

Применяется к: 1.2.1391 и более поздние сборки ESSE.

Здесь указываются неотслеживаемые папки в «Script Control».

• Пути к папкам могут быть на локальных дисках, подключенных сетевых дисках или являться универсальным путем именования (UNC).
• Исключения папок сценариев должны указывать относительный путь к папке или подпапке.
• Любой указанный путь к папке также включает любые подпапки.
• Подстановочные знаки не поддерживаются.

Correct (Mac):
/Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows):
\Cases\ScriptsAllowed.
Incorrect:
C:\Application\SubFolder\application.vbs
Incorrect:
\Program Files\Dell\application.vbs

Эта политика использует отключенный режим для ESSE. Это позволяет заказчикам полностью отделить инфраструктуру от Интернета.

Эта политика определяет конкретные пути угроз и сертификаты, которые должны быть разрешены в инфраструктуре.

Эта политика использует отключенный режим для ESSE. Это позволяет заказчикам полностью отделить инфраструктуру от Интернета.

Это определенный список известных поврежденных хэшей, которые автоматически помещаются в карантин при обнаружении агентом.

Эта политика использует отключенный режим для ESSE. Это позволяет заказчикам полностью отделить инфраструктуру от Интернета.

Эта политика определяет конкретные хэши угроз, которые должны быть разрешены в инфраструктуре.

Определяет, что будет сообщено конечному пользователю, если политика «Suppress Popup Notifications» отключена.

Высокий

• Состояние защиты изменилось. (Значение «Protected» означает, что служба Advanced Threat Prevention запущена, защищает компьютер и не требует вмешательства пользователя или администратора.)
• Обнаружена угроза, и политика не настроена на автоматическое устранение угрозы.

Medium

• Execution Control заблокировал запуск процесса, так как он был определен как угроза.
• Обнаружена угроза, связанная со смягчением последствий (например, угроза была помещена в карантин вручную), поэтому процесс был удален.
• Процесс заблокирован или удален из-за нарушения памяти.
• Обнаружено нарушение памяти, и для этого типа нарушения не действует политика автоматического смягчения последствий.

Low

• Файл, определенный как угроза, был добавлен в глобальный безопасный список или удален из файловой системы.
• Угроза обнаружена и автоматически помещена в карантин.
• Файл был определен как угроза, но отклонен на компьютере.
• Состояние текущей угрозы изменилось. Например, с «Threat» на «Quarantined», с «Quarantined» на «Waived», или с «Waived» на «Quarantined».

Advanced Threat Prevention (основной коммутатор)

On

Это значение политики определяет, могут ли клиенты использовать политики Advanced Threat Prevention.

Оно также включает File Actions и Execution Control, которые невозможно отключить.

Execution Control включает в себя «Background Threat Detection» и «File Watcher». Этот модуль в рамках ATP анализирует и аннотирует намерения портативного исполняемого файла (PE) на основе его предполагаемых действий и поведения. Все файлы, обнаруженные Execution Control, BTD и File Watcher, обрабатываются на основе политик, коррелирующих с «Auto-Quarantine». Эти действия выполняются на основе абсолютного пути к портативному исполняемому файлу.

Действия с файлами.

Unsafe Executable Auto Quarantine With Executable Control Enabled

Unsafe Executable Auto Upload Enabled

Enabled

Определяет, загружены ли в облако серьезные угрозы для выполнения дополнительной проверки.

Abnormal Executable Auto Quarantine With Executable Control Enabled

Enabled

Этот параметр определяет, будут ли файлы, которые считаются потенциальной угрозой, автоматически помещаться в карантин.

Abnormal Executable Auto Upload Enabled

Enabled

Определяет, будут ли потенциальные угрозы загружаться в облако для выполнения дополнительной проверки.

Allow Execution of Files in Exclude Folders

Enabled

Это относится к политике «Exclude Specific Folders» в группе политик «Protection Settings». Позволяет запускать исполняемые файлы в исключенных папках, даже если они автоматически помещены в карантин.

Auto Delete

Enabled

Это включает таймер дней до удаления политики, это также относится к помещенным в карантин элементам. По истечении таймера времени до удаления все угрозы в папке карантина автоматически удаляются, если эта политика включена.

Days until Deleted

14

Определяет количество дней для каждой угрозы, в течение которых элемент остается в локальной папке карантина.

Memory Actions

Memory Protection Enabled

Enabled

Это обеспечивает функциональность защиты памяти, модуль защиты памяти анализирует и интерпретирует намерения запуска приложений, отслеживая взаимодействие между приложениями и операционной системой в памяти.

Enable Exclude executable files

Enabled

Это позволяет исключить определенные исполняемые файлы из «Memory Protection».

Exclude executable files

Зависит от среды.

Все добавленные исключения должны быть указаны с использованием относительного пути к исполняемому файлу (исключая букву диска из пути).

Correct (OS X):
/Users/application.app/executable
Correct (Windows):
\Application\SubFolder\application.exe
Incorrect:
C:\Application\SubFolder\application.exe
Incorrect:
\Application\SubFolder\

Exploitation: Stack Pivot

Terminate

Стек для потока был заменен другим стеком. Как правило, компьютер выделяет только один стек для потока. Злоумышленник может использовать другой стек для управления исполнением таким образом, чтобы функция предотвращения выполнения данных (DEP) не блокировала его.

Применяется к: Windows, Mac

Exploitation: Stack Protect

Terminate

Защита памяти стека потока была изменена, чтобы включить разрешение на исполнение. Память стека не должна быть исполняемой, поэтому обычно это означает, что злоумышленник готовится запустить вредоносный код, хранящийся в памяти стека как часть уязвимости. В противном случае функция предотвращения выполнения данных (DEP) не заблокировала бы эту попытку.

Применяется к: Windows, Mac

Exploitation: Overwrite Code

Terminate

Код, хранящийся в памяти процесса, был изменен с помощью метода, который может указывать на попытку обойти функцию предотвращения выполнения данных (DEP).

Применяется к: Windows

Exploitation: Scanner Memory Search

Terminate

Процесс пытается прочитать действительные данные магнитной полосы из другого процесса, обычно связанные с POS-терминалами.

Применяется к: Windows

Exploitation: Malicious Payload

Terminate

Обнаружен общий код оболочки и полезная нагрузка, связанные с эксплойтом.

Применяется к: Windows

Process Injection: Remote Allocation of Memory

Terminate

Процесс выделил память в другом процессе. Большинство выделений происходит только в рамках одного процесса. Обычно это указывает на попытку ввести код или данные в другой процесс, что может стать первым шагом в укреплении вредоносного присутствия на компьютере.

Применяется к: Windows, Mac

Process Injection: Remote Mapping of Memory

Terminate

Процесс ввел код или данные в другой процесс. Это может указывать на попытку запуска кода в другом процессе и укрепления вредоносного присутствия.

Применяется к: Windows, Mac

Process Injection: Remote Write to Memory

Terminate

Процесс изменил память в другом процессе. Обычно это попытка сохранить код или данные в ранее выделенной памяти (см. OutOfProcessAllocation), но злоумышленник может попытаться перезаписать существующую память для вредоносной переадресации исполнения.

Применяется к: Windows, Mac

Process Injection: Remote Write PE to Memory

Terminate

Процесс изменил память в другом процессе, чтобы она содержала исполняемый образ. Обычно это указывает на то, что злоумышленник пытается выполнить код, не записывая его на диск.

Применяется к: Windows, Mac

Process Injection: Remote Overwrite Code

Terminate

Процесс изменил исполняемую память в другом процессе. В нормальных условиях исполняемая память не изменяется, особенно другим процессом. Обычно это указывает на попытку переадресации исполнения в другой процесс.

Применяется к: Windows, Mac

Process Injection: Remote Unmap of Memory

Terminate

Процесс удалил исполняемый файл Windows из памяти другого процесса. Это может указывать на намерение заменить исполняемый образ на измененную копию для переадресации исполнения.

Применяется к: Windows, Mac

Process Injection: Remote Thread Creation

Terminate

Процесс создал поток в другом процессе. Злоумышленник выполняет это действие для активации вредоносного присутствия, которое было введено в другой процесс.

Применяется к: Windows, Mac

Process Injection: Remote APC Scheduled

Terminate

Процесс перенаправил исполнение потока другого процесса. Злоумышленник выполняет это действие для активации вредоносного присутствия, которое было введено в другой процесс.

Применяется к: Windows

Process Injection: DYLD Injection (только для Mac OS X)

Terminate

Была установлена переменная среды, которая приводит к тому, что в запущенный процесс вводится общая библиотека. Атаки могут изменить список свойств приложений, таких как Safari, или заменить приложения на сценарии bash, которые приводят к автоматической загрузке модулей при запуске приложения.

Применяется к: Mac

Escalation: LSASS Read

Terminate

Доступ к памяти, принадлежащей процессу Windows Local Security Authority, был осуществлен способом, указывающим на попытку получения паролей пользователей.

Применяется к: Windows

Escalation: Zero Allocate

Terminate

Выделена пустая страница. Область памяти обычно резервируется, но в определенных обстоятельствах она может быть выделена. Атаки могут использовать эту функцию для настройки эскалации прав доступа, используя некоторые известные неопределенные эксплойты, обычно в ядре.

Применяется к: Windows, Mac

Execution Control

Prevent Service Shutdown from Device

Enabled

Если установлено значение «Enabled», невозможно остановить службу ATP, даже как компьютер. Это также предотвращает удаление приложения.

Kill Unsafe Running Process and Sub-Processes

Enabled

Включение этой функции позволяет обнаруживать и удалять любые угрозы на основе памяти, которые порождают подпроцессы.

Background Threat Detection

Run Once

Определяет, выполняется ли сканирование существующих файлов на устройстве. Для этого параметра можно установить значение Отключено, Запустить один раз или Запустить повторно.

Если включена политика «Watch For New Files», рекомендуется настроить для «Background Threat Detection» значение «Run Once». Необходимо проверять существующие файлы только один раз, если вы также просматриваете новые и обновленные файлы.

Watch For New Files

Enabled

Установка значения «Enabled» позволяет обнаруживать и анализировать любые файлы, которые были недавно записаны на устройство или изменены.

Set Maximum Archive File Size to Scan

150

Настройка максимального размера распакованного архива, который можно проанализировать Размер в мегабайтах.

Это определяет список неотслеживаемых папок в File Watcher. Эта политика «Разрешить выполнение файлов в папках исключений» предотвращает помещение в карантин любых файлов, запущенных из этих каталогов. Эта политика запрещает сканирование этих каталогов для «Watch for New Files» или «Background Threat Detection».

Все добавленные исключения должны быть указаны с использованием абсолютного пути к исполняемому файлу (включая букву диска из пути).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe

Определяет список неотслеживаемых папок в Application Control.

Все добавленные исключения должны быть указаны с использованием абсолютного пути к исполняемому файлу (включая букву диска из пути).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe

Включает использование «Script Control»

«Script Control» отслеживает приложения и службы, которые могут выполнять действия в операционной системе. Эти приложения обычно называются интерпретаторами. ATP отслеживает эти приложения и службы на наличие сценариев, которые пытаются выполниться, и на основе политик уведомляет о предпринятых действиях или блокирует их выполнение. Эти решения принимаются на основе имени сценария и относительного пути выполнения сценария.

Если задано значение «Block», элементы на основе сценариев не выполняются. Это относится к любому активному сценарию, сценарию на основе макросов или сценарию на основе PowerShell. В более поздних версиях они разделены на собственные политики.

Применяется к: 1.2.1371 и более ранние сборки ESSE

Если задано значение «Block», отключает возможность запуска JavaScript, VBScript, batch, Python, Perl, PHP, Ruby и многих других сценариев.

Применяется к: 1.2.1391 и более поздние сборки ESSE.

Если установлено значение «Alert», позволяет анализировать макросы в документах, чтобы определить, выполняются ли в них потенциально вредоносные команды. Если обнаружена угроза, настройка «Block» запрещает запуск макроса. Макросы, запускаемые при запуске системы, могут препятствовать загрузке приложения.

Применяется к: 1.2.1391 и более поздние сборки ESSE.

Если задано значение «Block», предотвращает выполнение сценариев на основе PowerShell в инфраструктуре.

Применяется к: 1.2.1391 и более поздние сборки ESSE.

Если задано значение «Block», консоль PowerShell v3 и ISE не будут запускаться.

Применяется к: 1.2.1391 и более поздние сборки ESSE.

Здесь указываются неотслеживаемые папки в «Script Control».

• Пути к папкам могут быть на локальных дисках, подключенных сетевых дисках или являться универсальным путем именования (UNC).
• Исключения папок сценариев должны указывать относительный путь к папке или подпапке.
• Любой указанный путь к папке также включает любые подпапки.
• Подстановочные знаки не поддерживаются.

Correct (Mac):
/Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows):
\Cases\ScriptsAllowed.
Incorrect:
C:\Application\SubFolder\application.vbs
Incorrect:
\Program Files\Dell\application.vbs

Эта политика использует отключенный режим для ESSE. Это позволяет заказчикам полностью отделить инфраструктуру от Интернета.

Эта политика определяет конкретные пути угроз и сертификаты, которые должны быть разрешены в инфраструктуре.

Эта политика использует отключенный режим для ESSE. Это позволяет заказчикам полностью отделить инфраструктуру от Интернета.

Это определенный список известных поврежденных хэшей, которые автоматически помещаются в карантин при обнаружении агентом.

Эта политика использует отключенный режим для ESSE. Это позволяет заказчикам полностью отделить инфраструктуру от Интернета.

Эта политика определяет конкретные хэши угроз, которые должны быть разрешены в инфраструктуре.

Определяет, что будет сообщено конечному пользователю, если политика «Suppress Popup Notifications» отключена.

Высокий

• Состояние защиты изменилось. (Значение «Protected» означает, что служба Advanced Threat Prevention запущена, защищает компьютер и не требует вмешательства пользователя или администратора.)
• Обнаружена угроза, и политика не настроена на автоматическое устранение угрозы.

Medium

• Execution Control заблокировал запуск процесса, так как он был определен как угроза.
• Обнаружена угроза, связанная со смягчением последствий (например, угроза была помещена в карантин вручную), поэтому процесс был удален.
• Процесс заблокирован или удален из-за нарушения памяти.
• Обнаружено нарушение памяти, и для этого типа нарушения не действует политика автоматического смягчения последствий.

Low

• Файл, определенный как угроза, был добавлен в глобальный безопасный список или удален из файловой системы.
• Угроза обнаружена и автоматически помещена в карантин.
• Файл был определен как угроза, но отклонен на компьютере.
• Состояние текущей угрозы изменилось (например, с «Threat» на «Quarantined», с «Quarantined» на «Waived», или с «Waived» на «Quarantined»).