自适应异常控制
自适应异常控制组件仅适用于 Kaspersky Endpoint Security for Business Advanced 和卡巴斯基全方位安全软件for Business(有关 Kaspersky Endpoint Security 企业产品的更多信息,请参见 Kaspersky 网站)。
如果 Kaspersky Endpoint Security 安装在运行 Windows 的个人计算机上,则该组件不可用。如果将 Kaspersky Endpoint Security 安装在运行 Windows 以做文件服务器之用的计算机上,则该组件不可用。
自适应异常控制组件会监视并阻止不是公司网络内计算机典型操作的可疑操作。自适应异常控制使用一组规则来跟踪异常行为(例如,从 Office 应用程序启动 Microsoft PowerShell 规则)。规则由 Kaspersky 专家根据恶意活动的典型情景创建。您可以配置“自适应异常控制”处理每条规则的方式,例如,允许执行使某些工作流任务自动化的 PowerShell 脚本。Kaspersky Endpoint Security 会同时更新规则集和应用程序数据库。规则集的更新必须手动确认。
“自适应异常控制”设置
配置“自适应异常控制”包括以下步骤:
- 训练“自适应异常控制”。
启用“自适应异常控制”后,其规则在训练模式下工作。在训练期间,“自适应异常控制”监控规则触发并将触发事件发送到 Kaspersky Security Center。每条规则都有自己的训练模式持续时间。训练模式持续时间由 Kaspersky 专家设置。通常,训练模式保持活动两周。
如果在训练期间某条规则完全未触发,“自适应异常控制”会将与此规则关联的操作视为可疑操作。Kaspersky Endpoint Security 将阻止与该规则相关的所有操作。
如果在训练期间触发了某条规则,Kaspersky Endpoint Security 会将事件记录在规则触发报告和“智能训练模式规则触发”存储库中。
- 分析规则触发报告。
管理员分析规则触发报告或者“智能训练模式规则触发”存储库的内容。然后管理员可以选择在触发规则时“自适应异常控制”的行为:阻止或允许。管理员还可以继续监控规则的工作方式并延长训练模式的持续时间。如果管理员未采取任何操作,应用程序也将继续在训练模式下工作。训练模式期限重新开始。
“自适应异常控制”为实时配置。“自适应异常控制”通过以下通道配置:
- “自适应异常控制”自动开始阻止与从未在训练模式中触发的规则相关联的操作。
- Kaspersky Endpoint Security 添加新规则或删除过时规则。
- 管理员在查看规则触发报告和“智能训练模式规则触发”存储库的内容后配置“自适应异常控制”的操作。建议检查规则触发报告和“智能训练模式规则触发存储库”的内容。
当恶意应用程序尝试执行操作时,Kaspersky Endpoint Security 将阻止该操作并显示通知(请参见下图)。
“自适应异常控制”通知
“自适应异常控制”操作算法
Kaspersky Endpoint Security 根据以下算法决定是允许还是阻止与某条规则关联的操作(请参见下图)。
“自适应异常控制”操作算法