Support

Support für Unternehmensanwendungen

Kaspersky Endpoint Security 11 für Windows

Kontrolle des Computers

Adaptive Kontrolle von Anomalien

Kaspersky Endpoint Security 11 für Windows
Нет результатов
Нет результатов
Wissensdatenbank Onlinehilfe
FAQ Systemvoraussetzungen Herunterladen Kaufen Verlängern Forum Support kontaktieren Tools zur Wiederherstellung Produktvideos

Adaptive Kontrolle von Anomalien

14. Februar 2024

ID 173855

Als PDF speichern

Diese Komponente ist verfügbar, wenn das Programm Kaspersky Endpoint Security auf einem Computer mit dem Betriebssystem Windows für Workstation installiert ist. Diese Komponente ist nicht verfügbar, wenn das Programm Kaspersky Endpoint Security auf einem Computer mit dem Betriebssystem Windows für Server installiert ist.

Die Komponente „Adaptive Kontrolle von Anomalien“ überwacht und blockiert Aktionen, die für Computer des Unternehmensnetzwerks untypisch sind. Zur Überwachung von untypischen Aktionen verwendet die „Adaptive Kontrolle von Anomalien“ eine Auswahl von Regeln (z. B. die Regel Start von Windows PowerShell aus einem Office-Programm). Die Regeln wurden von den Kaspersky-Spezialisten auf Basis typischer Szenarien für schädliche Aktivitäten erstellt. Sie können ein Verhalten der „Adaptiven Kontrolle von Anomalien“ für jede einzelne Regeln auswählen und beispielsweise den Start von PowerShell-Skripten erlauben, um die Lösung von Unternehmensaufgaben zu automatisieren. Kaspersky Endpoint Security aktualisiert den Regelsatz aus den Programm-Datenbanken. Die Aktualisierung des Regelsatzes muss manuell bestätigt werden.

„Adaptive Kontrolle von Anomalien“ anpassen

Die Anpassung der „Adaptiven Kontrolle von Anomalien“ umfasst folgende Schritte:

  1. Training der „Adaptiven Kontrolle von Anomalien“.

    Nachdem die „Adaptive Kontrolle von Anomalien“ aktiviert ist, funktionieren die Regeln im Lernmodus. Im Verlauf des Trainings überwacht die „Adaptive Kontrolle von Anomalien“ die Auslösung von Regeln und sendet Auslöseereignisse an Kaspersky Security Center. Jede Regel hat eine eigene Dauer für den Lernmodus. Die Dauer des Lernmodus wird von den Kaspersky-Experten vorgegeben. Gewöhnlich dauert der Lernmodus 2 Wochen.

    Wenn eine Regel während des Trainings nie ausgelöst wurde, betrachtet die „Adaptive Kontrolle von Anomalien“ die mit dieser Regel verbundenen Aktionen als untypisch. Kaspersky Endpoint Security blockiert alle Aktionen, die mit dieser Regel zusammenhängen.

    Wenn eine Regel während des Trainings ausgelöst wurde, protokolliert Kaspersky Endpoint Security die Ereignisse im Bericht über ausgelöste Regeln und im Speicher Auslösen von Regeln im Smart-Training-Status.

  2. Analyse des Berichts über ausgelöste Regeln.

    Der Administrator analysiert den Bericht über ausgelöste Regeln oder den Inhalt des Speichers Auslösen von Regeln im Smart-Training-Status. Anschließend kann der Administrator das Verhalten der „Adaptiven Kontrolle von Anomalien“ bei einer Auslösung der Regel festlegen: blockieren oder erlauben. Außerdem kann der Administrator die Regelauslösung weiterhin überwachen und die Dauer des Lernmodus für das Programm verlängern. Ergreift der Administrator keine Maßnahmen, so läuft das Programm ebenfalls im Lernmodus weiter. Die Dauer des Lernmodus beginnt von vorne.

Die „Adaptive Kontrolle von Anomalien“ wird im Echtzeitmodus angepasst. Die „Adaptive Kontrolle von Anomalien“ wird wie folgt angepasst:

  • Die „Adaptive Kontrolle von Anomalien“ beginnt automatisch, jene Aktionen zu blockieren, die mit Regeln zusammenhängen, die im Lernmodus nicht ausgelöst wurden.
  • Kaspersky Endpoint Security fügt neue Regeln hinzu oder löscht veraltete Regeln.
  • Der Administrator passt die Verwendung der „Adaptiven Kontrolle von Anomalien“ nach der Analyse des Berichts über ausgelöste Regeln und des Inhalts des Speichers Auslösen von Regeln im Smart-Training-Status an. Es wird empfohlen, den Bericht über ausgelöste Regeln und den Inhalt des Speichers Auslösen von Regeln im Smart-Training-Status.

Wenn ein Schadprogramm versucht, eine Aktion auszuführen, blockiert Kaspersky Endpoint Security die Aktion und zeigt eine Benachrichtigung an (siehe Abbildung unten).

Benachrichtigung der „Adaptiven Kontrolle von Anomalien”

Algorithmus der „Adaptiven Kontrolle von Anomalien”

Um über die Ausführung einer Aktion, die mit einer Regeln verbunden ist, zu entscheiden, nutzt Kaspersky Endpoint Security den folgenden Algorithmus (siehe Abbildung unten).

Algorithmus der „Adaptiven Kontrolle von Anomalien”

In diesem Abschnitt

Adaptive Kontrolle von Anomalien aktivieren und deaktivieren

Regel der Adaptiven Kontrolle von Anomalien aktivieren und deaktivieren

Aktion für den Fall, dass eine Regel der Adaptiven Kontrolle von Anomalien ausgelöst wird, ändern

Um eine Ausnahme für eine „Adaptive Kontrolle von Anomalien“-Regel zu löschen, gehen Sie wie folgt vor:

Exportieren und Importieren von Ausnahmen für die Regeln der „Adaptiven Kontrolle von Anomalien”

Updates für die Regeln der Adaptiven Kontrolle von Anomalien übernehmen

Meldungsvorlagen für die Adaptiven Kontrolle von Anomalien ändern

Berichte über die „Adaptive Kontrolle von Anomalien“ anzeigen

Kaspersky Endpoint Security für Windows:
Erkennung von hoch entwickelten Cyberbedrohungen
Schützt jeden Endpoint ohne hohe Kosten. Optimiert das zentralisierte Sicherheitsmanagement mit einer Cloud oder Web-Konsole. Kaufen Sie diese Lösung als Teil von Kaspersky Endpoint Security for Business Advanced.
Premium Support (MSA):
Priorisierte Eskalation von Support-Anfragen
Direkte Telefonleitung für Support, dedizierte technische Experten und längere Erreichbarkeit bei geschäftskritischen Problemen. Wählen Sie einen Plan aus, senden Sie eine Anfrage und aktivieren den MSA-Vertrag.
War dieser Artikel hilfreich?
Helfen Sie uns, diesen Artikel zu verbessern. Wählen Sie den Grund für Ihre Bewertung:
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.