Сценарий: Настройка правил Адаптивного контроля аномалий в режиме Интеллектуальный режим

Настройка правил Адаптивного контроля аномалий происходит поэтапно:

  1. Обучение

    После включения Адаптивного контроля аномалий его правилам присваивается статус "Интеллектуальное обучение". В процессе обучения Адаптивный контроль аномалий отслеживает обнаружения, произошедшие при срабатывании правила, и отправляет события обнаружения на сервер.

    Если во время обучения правило ни разу не сработало на определенном устройстве, Адаптивный контроль аномалий считает действия, связанные с этим правилом, нехарактерными. Kaspersky Endpoint Security Cloud блокирует все действия, связанные с этим правилом на этом устройстве.

    Если во время обучения сработало правило, Kaspersky Endpoint Security Cloud добавляет события в отчет об обнаружениях и в хранилище Обнаружения при срабатывании правил компонента Адаптивный контроль аномалий в Карантине.

  2. Обработка списка обнаружений

    Проанализируйте список обнаружений в хранилище Обнаружения при срабатывании правил компонента Адаптивный контроль аномалий. Для каждого обнаружения выполните одно из следующих действий:

    • Если обнаружение не является аномальным, добавьте его в исключения. В результате это обнаружение и все обнаружения этого объекта на других устройствах будут удалены из списка. В дальнейшем этот объект не будет обнаруживаться на устройствах пользователей.

      Можно добавить не более 1000 исключений суммарно для всех правил.

    • Если обнаружение действительно аномальное, подтвердите его. В результате обнаружение будет удалено из списка. В дальнейшем, если этот объект будет обнаружен на этом или другом устройстве, он снова появится в списке обнаружений.

Для каждого правила существует продолжительность обучения, задаваемая специалистами "Лаборатории Касперского". Обычно обучение длится две недели. Время обучения рассчитывается отдельно для каждого устройства только во время работы Kaspersky Endpoint Security для Windows на устройстве. Например, если обучение на устройстве длилось неделю, а затем устройство было выключено в течение месяца, вторая неделя обучения начнется при повторном включении устройства.

Обучение правила на устройстве завершается, когда за время обучения не остается необработанных обнаружений. Поэтому рекомендуется обрабатывать обнаружения не реже одного раза в неделю.

В начало