PHASR独立版

PHASR独立版是Bitdefender PHASR技术的独立部署方案，专为集成到现有多厂商安全环境设计。该技术通过分析每对用户-设备的行为模式，提供针对性强化建议以降低风险（如无文件攻击、加密矿工、盗版工具、篡改工具及远程管理工具等风险），无需企业更换现有终端代理或完整防护套件。

PHASR独立版也适用于拥有基础许可证和PHASR附加模块的客户。这意味着您可以在安装其他厂商安全解决方案的终端上部署PHASR独立版。

组件

终端运行PHASR独立版功能需满足以下先决条件：

PHASR独立版许可证
含PHASR独立版的安装包
策略中启用的PHASR独立版功能
Windows终端已安装Bitdefender终端安全工具

功能兼容性

PHASR独立版仅支持Windows 10及以上版本。

安装并配置PHASR独立版

在终端设备上安装此功能有三种可能场景：

终端设备未安装 BEST 代理程序。此时请使用创建安装包流程。
终端设备已安装 BEST 代理程序，但模块列表中未包含PHASR独立版。此时请使用通过重新配置代理任务添加PHASR的流程。
终端设备已安装 BEST 代理程序且包含PHASR独立版模块，但未启用含PHASR模块的策略时，请直接跳转至配置并启用PHASR独立版章节。

重要提示

为确保产品正常运行，在应用独立版许可证或安装PHASR独立版期间必须执行重新配置。

登录 GravityZone 控制中心 .
从左侧菜单进入网络页面，选择需要部署模块的终端设备。
点击表格上方的操作按钮并选择 重新配置代理 .
在模块下选择 匹配列表 ，PHASR独立版模块将自动启用。
点击保存 .

任务将在所有选定的终端上部署PHASR独立模块。

登录 GravityZone 控制中心 .
从左侧菜单进入 安装包 页面。
点击屏幕右上角的创建按钮。
输入新安装包的名称和描述。
在 安全模块与角色 > 操作模式 中，选择 PHASR独立模块 .
系统将自动选中 PHASR独立模块 。
点击保存 .
从软件包列表中选择新创建的软件包，点击 发送下载链接 .
输入收件人邮箱地址并点击发送 .

策略用于在终端及通用功能层面启用和配置各项特性。

GravityZone 提供一组默认策略设置，这些设置经过专门定制以满足最常见的客户需求。默认情况下，这些策略会在安装 BEST 代理后应用于终端设备。您不能修改或删除默认的 GravityZone 策略。

您可以使用这些默认策略设置并暂缓配置策略，或通过以下步骤自定义功能：

登录 GravityZone 控制中心 .
通过左侧菜单进入策略页面。
您可以：
- 创建新策略。
- 编辑现有策略。
若为新策略，请在 风险管理 下确保 PHASR 开关已启用，并勾选需要监控的每类活动类型。

每类活动类型提供3种设置选项：
警告

当从 自动模式 切换至 直接控制 模式时，自动模式强制执行的所有规则限制将被重置。将特定PHASR类别的设置更改为关闭会停用限制，但不会移除限制。当重新切换回关闭前的设置时，这些限制仍会生效。
- 关闭 - PHASR不会收集相关数据，且关联组件不会在PHASR仪表板显示任何数据。
- 自动模式 - PHASR将收集选定类型的数据，并据此创建建议且自动应用。
  
  注意
  
  选择自动模式时，所有PHASR建议将由集成在BEST中的Bitdefender自动技术自动执行。因此推荐列表中不会显示单独建议，因为自动模式无需用户干预即可执行操作。您可通过PHASR监控规则打开受限行为配置文件面板，查看自动模式应用的行为配置文件限制。
- 直接控制 - PHASR将收集选定类型的数据并据此创建建议，在控制台展示。推荐操作需经手动批准后才会执行。
保存策略。
若创建了新策略，请将其应用于已部署该功能的终端：
1. 前往左侧菜单中的网络页面。
2. 勾选需要应用策略的终端。
3. 在操作菜单中，选择 分配策略 .
4. 选择要应用的策略。
5. 点击完成 .
  
  注意
  
  更多信息请参阅此知识库文章 .
若您编辑了现有策略，请确保将其应用到所有部署了该功能的终端。

这将确保功能按您公司需求优化启用和配置。

您可通过 Bitdefender终端安全工具界面检查PHASR模块是否已在终端启用。

管理PHASR推荐

PHASR推荐是基于观测到的用户和设备行为提出的安全措施建议。这些建议指示应限制或允许访问特定工具类别，在动态适应用户行为变化的同时帮助减少攻击面。

PHASR激活且模块安装到终端后，学习阶段即开始。该阶段最短持续30天，最长可达60天（取决于规则严重性）。期间PHASR通过分析用户和设备活动构建行为画像，并逐步生成推荐。当检测到某些工具未被使用时，PHASR会生成"限制访问"建议以缩小攻击面。

重要说明

行为画像是通过用户与设备组合形成的唯一配对。

行为画像示例：

张三 - 台式机
张三 - 笔记本电脑

李四 - 笔记本电脑1
李四 - 笔记本电脑2

初始学习阶段完成并生成推荐后，PHASR会在后台持续学习，不断适应用户行为变化。

注意

PHASR能够利用历史EDR数据缩短学习阶段持续时间（具体时长取决于可用历史数据量），这意味着学习阶段可缩减至数天甚至立即获取推荐策略。

当PHASR检测到当前拥有特定资产访问权限的用户行为发生变化时，将生成'限制访问'建议。生成该建议后，您可以查看其依据的行为画像并决定是否应用该建议。

要查看生成的建议并通过应用它们来减少攻击面，请前往 PHASR建议页面。

管理监控规则

监控规则是PHASR用于识别潜在攻击向量的机制，用户可通过这些规则降低攻击面暴露风险。每条规则可能产生多项建议。

要查看构成建议基础的规则，或手动应用/移除限制，请前往 PHASR监控规则页面。

测试PHASR

测试PHASR请按以下步骤操作：

在GravityZone控制台中进入PHASR监控规则页面。
选择PHASR目标活动类型中存在的进程，例如 teamviewer.exe .
点击规则名列下的进程名称，右侧将显示规则详情面板。
选择编辑访问权限。
在编辑访问窗口中，于行为画像部分选择需要限制访问的设备。
选择编辑访问以应用更改。
在选定设备上尝试访问先前受限的进程（如teamviewer.exe）。

当PHASR在特定终端阻止某进程时，该限制会显示在Bitdefender终端安全工具界面中。此信息仅在进程实际尝试运行或访问资源时出现，且变更同步可能需要数秒甚至数分钟。

本节内容 :