Adaptacyjna kontrola anomalii

Komponent Adaptacyjna kontrola anomalii jest dostępny tylko dla Kaspersky Endpoint Security for Business Advanced i Kaspersky Total Security for Business (więcej informacji o produktach Kaspersky Endpoint Security dla biznesu znajdziesz na stronie internetowej Kaspersky).

Komponent Adaptacyjna kontrola anomalii monitoruje i blokuje podejrzane działania, które nie są typowe dla komputerów w sieci firmowej. Adaptacyjna kontrola anomalii wykorzystuje zestaw reguł do śledzenia nietypowych zachowań (na przykład, reguła Uruchom Microsoft PowerShell z aplikacji biurowych). Reguły są tworzone przez specjalistów z Kaspersky w oparciu o typowe scenariusze złośliwej aktywności. Można skonfigurować, w jaki sposób Adaptacyjna kontrola aplikacji obsługuje każdą regułę i, na przykład, zezwolić na wykonywanie skryptów PowerShell, które automatyzują określone zadania przepływu pracy. Kaspersky Endpoint Security aktualizuje zestaw reguł wraz z bazami danych aplikacji. Aktualizacje zestawów reguł muszą być potwierdzone ręcznie.

Ustawienia komponentu Adaptacyjna kontrola anomalii

Konfiguracja Adaptacyjnej kontroli anomalii składa się z następujących kroków:

Uczenie modułu Adaptacyjna kontrola anomalii.
Po włączeniu Adaptacyjnej kontroli anomalii, jej reguły działają w trybie uczenia. Podczas uczenia moduł Adaptacyjna kontrola anomalii monitoruje wyzwalanie reguł i wysyła zdarzenia wyzwalające do Kaspersky Security Center. Każda reguła ma swój czas trwania trybu uczenia. Czas trwania trybu uczenia jest ustawiany przez ekspertów z Kaspersky. Zazwyczaj tryb uczenia jest aktywny przez dwa tygodnie.

Jeśli podczas treningu reguła nie została w ogóle uruchomiona, Adaptacyjna kontrola anomalii uzna działania związane z tą regułą za podejrzane. Kaspersky Endpoint Security zablokuje wszystkie działania związane z tą regułą.

Jeśli reguła została wyzwolona podczas treningu, Kaspersky Endpoint Security rejestruje zdarzenia w raporcie wyzwalającym regułę oraz w repozytorium Wywoływanie reguł w trybie Inteligentne uczenie.
Analizowanie raportu dotyczącego wyzwalania reguły.
Administrator analizuje raport dotyczący wyzwalania reguły lub zawartość repozytorium Wywoływanie reguł w trybie Inteligentne uczenie. Następnie administrator może wybrać zachowanie Adaptacyjnej kontroli anomalii, gdy reguła jest wyzwalana: albo zablokować, albo zezwolić. Administrator może również kontynuować monitorowanie działania reguły i wydłużyć czas trwania trybu uczenia. Jeśli administrator nie podejmie żadnych działań, aplikacja będzie również kontynuować pracę w trybie uczenia. Limit czasu trwania trybu uczenia jest następnie resetowany.

Adaptacyjna kontrola anomalii jest konfigurowana w czasie rzeczywistym. Adaptacyjna kontrola anomalii jest konfigurowana poprzez następujące kanały:

Adaptacyjna kontrola anomalii automatycznie rozpoczyna blokowanie działań związanych z regułami, które nigdy nie zostały wyzwolone w trybie uczenia.
Kaspersky Endpoint Security dodaje nowe reguły lub usuwa przestarzałe.
Administrator konfiguruje działanie Adaptacyjnej kontroli anomalii po przejrzeniu raportu dotyczącego wyzwalania reguły i zawartości repozytorium Wywoływanie reguł w trybie Inteligentne uczenie. Zalecane jest sprawdzenie raportu dotyczącego wyzwalania reguły i zawartości repozytorium Wywoływanie reguł w trybie Inteligentne uczenie.

Jeśli złośliwa aplikacja spróbuje wykonać akcję, Kaspersky Endpoint Security zablokuje tę akcję i wyświetli powiadomienie (patrz rysunek poniżej).

KES11_AAC_Notification

Powiadomienie Adaptacyjnej kontroli anomalii

Algorytm działania Adaptacyjnej kontoli anomalii

Kaspersky Endpoint Security decyduje, czy zezwolić na lub zablokować działanie skojarzone z regułą opartą o następujący algorytm (patrz rysunek poniżej).

KES11_Adaptive_Control_Algorithm

Algorytm działania Adaptacyjnej kontoli anomalii

Ustawienia komponentu Adaptacyjna kontrola anomalii

Parametr	Opis
Raport o stanie reguły	Ten raport zawiera informacje o stanie reguł wykrywania komponentu Adaptacyjna kontrola anomalii (na przykład: Wyłączona lub Zablokuj). Raport jest generowany dla wszystkich grup administracyjnych.
Raport z wywołania reguły	Ten raport zawiera informacje o podejrzanych działaniach wykrytych przez komponent Adaptacyjna kontrola anomalii. Raport jest generowany dla wszystkich grup administracyjnych.
Reguły	Tabela reguł komponentu Adaptacyjna kontrola anomalii. Reguły są tworzone przez specjalistów z Kaspersky w oparciu o typowe scenariusze potencjalnie złośliwej aktywności.
Szablony wiadomości	Blokada. Szablon komunikatu dla użytkownika wyświetlany po wyzwoleniu reguły komponentu Adaptacyjna kontrola anomalii, która blokuje podejrzane działanie. Wiadomość do administratora. Szablon wiadomości dla użytkownika, która może zostać wysłana do lokalnego administratora sieci korporacyjnej, jeśli użytkownik uzna, że zablokowanie jest pomyłką.

Zobacz również: Zarządzanie aplikacją z poziomu interfejsu lokalnego

Włączanie i wyłączanie Adaptacyjnej kontroli anomalii

Działania z użyciem reguł Adaptacyjnej kontroli anomalii

Modyfikowanie szablonów wiadomości Adaptacyjnej kontroli anomalii

Przejdź do góry