アダプティブアノマリーコントロール

Windows 向け

アダプティブアノマリーコントロールは、企業のネットワーク内にあるコンピューターで一般的には発生しないはずの動作の監視とブロックを行います。アダプティブアノマリーコントロールは、一般的でないふるまいを追跡するルールのセットを使用します（たとえば、「Office アプリケーションからの Microsoft PowerShell の開始」ルールなど）。ルールは、カスペルスキーのエキスパートが、悪意のある活動の一般的なシナリオに基づいて作成しています。アダプティブアノマリーコントロールが各ルールを取り扱う方法を設定できます。たとえば、一部のワークフロータスクを自動化する PowerShell スクリプトの実行を許可することができます。Kaspersky Endpoint Security は、定義データベースをアップデートするのと同様に、アダプティブアノマリーコントロールルールも Kaspersky から提供されている最新のルールにアップデートします。

アダプティブアノマリーコントロールの設定では、次のステップが必要です：

アダプティブアノマリーコントロールのトレーニング
アダプティブアノマリーコントロールを有効にすると、アダプティブアノマリーコントロールルールがトレーニングモードで動作します。トレーニング期間中、アダプティブアノマリーコントロールはルールのトリガーを監視し、トリガーイベントをサーバーに送信します。ルールごとに、設定されているトレーニング期間は異なります。トレーニングモードの継続期間はカスペルスキーのエキスパートが設定しています。通常は、トレーニングモードの継続期間は 2 週間です。
特定のルールを適用可能な動作がトレーニング期間中に 1 回も発生しなかった場合、アダプティブアノマリーコントロールは、そのルールの対象となる動作は平常時には発生しない動作だと判断します。そのため、トレーニング終了後、該当するルールの適用対象となる動作はすべて Kaspersky Endpoint Security でブロックされるようになります。
トレーニング期間中にルールがトリガーされると、Kaspersky Endpoint Security はルールの適用のレポートとアダプティブアノマリーコントロール検知ストレージにイベントを記録します。
「ルールの適用のレポート」の分析
管理者は、ルールの適用のレポートまたはアダプティブアノマリーコントロール検知ストレージの内容を分析します。分析結果に基づき、管理者はそれぞれのルールが適用されたときのアダプティブアノマリーコントロールによる処理を、「ブロック」または「許可」から選択します。管理者は、ルールの適用状況に関する情報をさらに収集した上で判断を行うたために、トレーニングモードの期間を延長することもできます。また、管理者がルールの適用状況のレポートに対する対応を行わなかった場合も、アダプティブアノマリーコントロールは引き続きトレーニングモードで動作します。トレーニングモードの残り期間もリセットされます。

アダプティブアノマリーコントロールの設定内容は、即座に動作に反映されます。アダプティブアノマリーコントロールの設定は、自動的に設定される場合と手動で設定する場合を合わせて、次の方法で設定されます：

トレーニングモードの期間中に 1 回も適用可能な動作が発生しなかったルールについては、該当するルールが適用可能な動作をすべてブロックする設定が自動的に行われる。
新しいルールの追加や古くなったルールの削除が Kaspersky Endpoint Security によって行われる。

管理者は、ルールの適用のレポートとアダプティブアノマリーコントロール検知ストレージの内容を分析した後、アダプティブアノマリーコントロールを設定します。ルールの適用のレポートとアダプティブアノマリーコントロール検知ストレージの内容を確認することを推奨します。

Pro View のアダプティブアノマリーコントロール設定

パラメータ	OS	説明
［レポートの表示］→［ルールの状態］	`Windows`	このレポートにはアダプティブアノマリーコントロールの検知ルールの状態に関する情報が表示されます（ルールの状態が「無効」または「ブロックする」など）。このレポートはすべての管理グループを対象に生成されます。
［レポートの表示］→［検知］	`Windows`	このレポートには、アダプティブアノマリーコントロールを使用して検知された典型的でない動作に関する情報が含まれています。このレポートはすべての管理グループを対象に生成されます。
ルール	`Windows`	アダプティブアノマリーコントロールのルールのリスト。これらのルールは、カスペルスキーのスペシャリストによって、マルウェアの可能性があるプログラムが示す典型的な動作に基づいて作成されています。アダプティブアノマリーコントロールの各ルールは、次のいずれかの動作を実行します：通知する：ルールの対象となる動作を許可し、対応するエントリを記録します。ブロックするルールの対象となる動作をブロックし、対応するエントリを記録します。スマート：このルールは、カスペルスキーによって定義された期間、スマートトレーニング状態で動作します。このモードでは、ルールがトリガーされると、アプリケーションはルールとログの対象となるアクティビティを許可し、アダプティブアノマリーコントロール検知ストレージにエントリーを記録します。トレーニングが完了すると、トレーニング結果に応じて、それ以降の動作が許可またはブロックされます。アダプティブアノマリーコントロールルールの除外を定義できます。アダプティブアノマリーコントロールルールの除外には、ソースオブジェクトとターゲットオブジェクトの説明が含まれます。ソースオブジェクトとは、処理を実行しているオブジェクトです。ターゲットオブジェクトとは、処理が実行されているオブジェクトです。たとえば、「`file.xlsx`」という名前のファイルを開いたとします。このとき、拡張子が DLL のライブラリファイルがコンピューターメモリに読み込まれます。このライブラリがブラウザー（実行ファイル名は「`browser.exe`」）で使用されたとします。この場合、「`file.xlsx`」がソースオブジェクトで、Excel がソースプロセス、「`browser.exe`」がターゲットオブジェクト、ブラウザーがターゲットプロセスになります。

パラメータ

説明

［レポートの表示］→［ルールの状態］

Windows

このレポートにはアダプティブアノマリーコントロールの検知ルールの状態に関する情報が表示されます（ルールの状態が「無効」または「ブロックする」など）。このレポートはすべての管理グループを対象に生成されます。

［レポートの表示］→［検知］

Windows

このレポートには、アダプティブアノマリーコントロールを使用して検知された典型的でない動作に関する情報が含まれています。このレポートはすべての管理グループを対象に生成されます。

ルール

Windows

アダプティブアノマリーコントロールのルールのリスト。これらのルールは、カスペルスキーのスペシャリストによって、マルウェアの可能性があるプログラムが示す典型的な動作に基づいて作成されています。

アダプティブアノマリーコントロールの各ルールは、次のいずれかの動作を実行します：

通知する：
ルールの対象となる動作を許可し、対応するエントリを記録します。
ブロックする
ルールの対象となる動作をブロックし、対応するエントリを記録します。
スマート：
このルールは、カスペルスキーによって定義された期間、スマートトレーニング状態で動作します。このモードでは、ルールがトリガーされると、アプリケーションはルールとログの対象となるアクティビティを許可し、アダプティブアノマリーコントロール検知ストレージにエントリーを記録します。トレーニングが完了すると、トレーニング結果に応じて、それ以降の動作が許可またはブロックされます。

アダプティブアノマリーコントロールルールの除外を定義できます。アダプティブアノマリーコントロールルールの除外には、ソースオブジェクトとターゲットオブジェクトの説明が含まれます。ソースオブジェクトとは、処理を実行しているオブジェクトです。ターゲットオブジェクトとは、処理が実行されているオブジェクトです。たとえば、「file.xlsx」という名前のファイルを開いたとします。このとき、拡張子が DLL のライブラリファイルがコンピューターメモリに読み込まれます。このライブラリがブラウザー（実行ファイル名は「browser.exe」）で使用されたとします。この場合、「file.xlsx」がソースオブジェクトで、Excel がソースプロセス、「browser.exe」がターゲットオブジェクト、ブラウザーがターゲットプロセスになります。

ページのトップに戻る