Scenariusz: Konfigurowanie reguł Adaptacyjnej kontroli anomalii w trybie Smart

Konfigurowanie reguł Adaptacyjnej kontroli anomalii przebiega etapami:

  1. Szkolenie

    Po włączeniu Adaptacyjnej kontroli anomalii jej reguły są w stanie „Inteligentne uczenie się”. Podczas szkolenia Adaptacyjna kontrola anomalii monitoruje wykrycia dokonane przez regułę i wysyła zdarzenia wykrycia na serwer.

    Jeśli podczas szkolenia reguła w ogóle nie zostanie wyzwolona na określonym urządzeniu, Adaptacyjna kontrola anomalii traktuje działania związane z tą regułą jako nietypowe. Kaspersky Endpoint Security Cloud zablokuje wszystkie działania powiązane z tą regułą na tym urządzeniu.

    Jeśli podczas szkolenia zostanie wyzwolona reguła, Kaspersky Endpoint Security Cloud dodaje zdarzenia do raportów z wykryciach oraz do repozytorium Wykrycia reguł Adaptacyjnej kontroli anomalii w Kwarantannie.

  2. Przetwarzanie listy wykryć

    Przeanalizuj listę wykryć w repozytorium Wykrycia reguł Adaptacyjnej kontroli anomalii. W przypadku każdego wykrycia wykonaj jedną z następujących czynności:

    • Jeśli wykrycie nie jest nietypowe, dodaj je do wykluczeń. W rezultacie to wykrycie i wszystkie wykrycia tego samego obiektu na innych urządzeniach są usuwane z listy. Później ten obiekt nie zostanie ponownie wykryty na żadnym z urządzeń Twoich użytkowników.

      Możesz dodać maksymalnie 1000 wykluczeń dla wszystkich reguł.

    • Jeśli wykrycie jest rzeczywiście nieprawidłowe, potwierdź to. W rezultacie wykrycie zostanie usunięte z listy. Następnie, jeśli ten obiekt zostanie ponownie wykryty na tym samym lub innym urządzeniu, pojawi się ponownie na liście wykryć.

Każda reguła ma swój własny czas trwania szkolenia, który jest ustalany przez ekspertów z firmy Kaspersky. Zazwyczaj szkolenie trwa dwa tygodnie. Czas uczenia jest liczony osobno dla każdego urządzenia i tylko wtedy, gdy na urządzeniu działa Kaspersky Endpoint Security for Windows. Na przykład, jeśli uczenie na urządzeniu trwa tydzień, a następnie urządzenie zostało wyłączone w ciągu miesiąca, drugi tydzień uczenia rozpoczyna się dopiero po ponownym włączeniu urządzenia.

Uczenie dla reguły na urządzeniu kończy się, gdy przez cały czas trwania uczenia nie ma nieprzetworzonych wykryć. Dlatego zalecamy przetwarzanie wykryć przynajmniej raz w tygodniu.

Przejdź do góry