Adaptive Kontrolle von Anomalien

Sie können die "Adaptive Kontrolle von Anomalien" in Kaspersky Security Center 12 Web Console verwalten. Die "Adaptive Kontrolle von Anomalien" kann nicht im Programm Kaspersky Security Center Cloud Console verwaltet werden. Sie können die "Adaptive Kontrolle von Anomalien" auch in der Verwaltungskonsole für Kaspersky Security Center verwalten.

Die Komponente "Adaptive Kontrolle von Anomalien" ist nur für die Lösungen Kaspersky Endpoint Security for Business Advanced und Kaspersky Total Security for Business verfügbar (nähere Informationen über die Lösungen Kaspersky Endpoint Security for Business finden Sie auf der Kaspersky-Website).

Diese Komponente ist verfügbar, wenn das Programm Kaspersky Endpoint Security auf einem Computer mit dem Betriebssystem Windows für Workstation installiert ist. Diese Komponente ist nicht verfügbar, wenn das Programm Kaspersky Endpoint Security auf einem Computer mit dem Betriebssystem Windows für Server installiert ist.

Die Komponente "Adaptive Kontrolle von Anomalien" überwacht und blockiert verdächtige Aktionen, die für Computer des Unternehmensnetzwerks untypisch sind. Zur Überwachung von untypischen Aktionen verwendet die "Adaptive Kontrolle von Anomalien" eine Auswahl von Regeln (z. B. die Regel Start von Windows PowerShell aus einem Office-Programm). Die Regeln wurden von den Kaspersky-Spezialisten auf Basis typischer Szenarien für schädliche Aktivitäten erstellt. Sie können ein Verhalten der "Adaptiven Kontrolle von Anomalien" für jede einzelne Regeln auswählen und beispielsweise den Start von PowerShell-Skripten erlauben, um die Lösung von Unternehmensaufgaben zu automatisieren. Kaspersky Endpoint Security aktualisiert den Regelsatz aus den Programm-Datenbanken. Die Aktualisierung des Regelsatzes muss manuell bestätigt werden.

"Adaptive Kontrolle von Anomalien" anpassen

Die Anpassung der "Adaptiven Kontrolle von Anomalien" umfasst folgende Schritte:

  1. Training der "Adaptiven Kontrolle von Anomalien".

    Nachdem die "Adaptive Kontrolle von Anomalien" aktiviert ist, funktionieren die Regeln im Lernmodus. Im Verlauf des Trainings überwacht die "Adaptive Kontrolle von Anomalien" die Auslösung von Regeln und sendet Auslöseereignisse an Kaspersky Security Center. Jede Regel hat eine eigene Dauer für den Lernmodus. Die Dauer des Lernmodus wird von den Kaspersky-Experten vorgegeben. Gewöhnlich dauert der Lernmodus 2 Wochen.

    Wenn eine Regel während des Trainings nie ausgelöst wurde, betrachtet die "Adaptive Kontrolle von Anomalien" die mit dieser Regel verbundenen Aktionen als verdächtig. Kaspersky Endpoint Security blockiert alle Aktionen, die mit dieser Regel zusammenhängen.

    Wenn eine Regel während des Trainings ausgelöst wurde, protokolliert Kaspersky Endpoint Security die Ereignisse im Bericht über ausgelöste Regeln und im Speicher Auslösung von Regeln im Lernmodus.

  2. Analyse des Berichts über ausgelöste Regeln.

    Der Administrator analysiert den Bericht über ausgelöste Regeln oder den Inhalt des Speichers Auslösung von Regeln im Lernmodus. Anschließend kann der Administrator das Verhalten der "Adaptiven Kontrolle von Anomalien" bei einer Auslösung der Regel festlegen: blockieren oder erlauben. Außerdem kann der Administrator die Regelauslösung weiterhin überwachen und die Dauer des Lernmodus für das Programm verlängern. Ergreift der Administrator keine Maßnahmen, so läuft das Programm ebenfalls im Lernmodus weiter. Die Dauer des Lernmodus beginnt von vorne.

Die "Adaptive Kontrolle von Anomalien" wird im Echtzeitmodus angepasst. Die "Adaptive Kontrolle von Anomalien" wird wie folgt angepasst:

Wenn ein Schadprogramm versucht, eine Aktion auszuführen, blockiert Kaspersky Endpoint Security die Aktion und zeigt eine Benachrichtigung an (siehe Abbildung unten).

KES11_AAC_Notification

Benachrichtigung der "Adaptiven Kontrolle von Anomalien"

Algorithmus der "Adaptiven Kontrolle von Anomalien"

Um über die Ausführung einer Aktion, die mit einer Regeln verbunden ist, zu entscheiden, nutzt Kaspersky Endpoint Security den folgenden Algorithmus (siehe Abbildung unten).

KES11_Adaptive_Control_Algorithm

Algorithmus der "Adaptiven Kontrolle von Anomalien"

Einstellungen der Komponente "Adaptive Kontrolle von Anomalien"

Einstellung

Beschreibung

Bericht zum Regelstatus

Dieser Bericht enthält Informationen zum Status der Erkennungsregeln der "Adaptiven Kontrolle von Anomalien" (z. B. Deaktiviert oder Blockieren). Der Bericht wird für alle Administrationsgruppen erstellt.

Bericht über ausgelöste Regeln

Dieser Bericht enthält Informationen über verdächtige Aktionen, die mithilfe der "Adaptiven Kontrolle von Anomalien" erkannt wurden. Der Bericht wird für alle Administrationsgruppen erstellt.

Regeln

Tabelle der Regeln der "Adaptiven Kontrolle von Anomalien". Die Regeln wurden von den Kaspersky-Spezialisten auf Basis typischer Szenarien für potentiell schädliche Aktivitäten erstellt.

Vorlagen für Nachrichten

  • Sperrung. Vorlage der Nachricht an den Benutzer. Diese Nachricht wird angezeigt, wenn eine Regel der "Adaptiven Kontrolle von Anomalien" ausgelöst wird, die eine verdächtige Aktion blockiert.
  • Nachricht an den Administrator. Vorlage der Nachricht, die an den Administrator des lokalen Unternehmensnetzwerks gesendet wird, wenn eine Aktion nach Meinung des Benutzers irrtümlich blockiert wurde.

Siehe auch Abschnitt zur Programmverwaltung über eine lokale Schnittstelle

Adaptive Kontrolle von Anomalien aktivieren und deaktivieren

Regel der Adaptiven Kontrolle von Anomalien aktivieren und deaktivieren

Aktion für den Fall, dass eine Regel der Adaptiven Kontrolle von Anomalien ausgelöst wird, ändern

Ausnahme für eine Regel der Adaptiven Kontrolle von Anomalien erstellen oder ändern

Ausnahme für eine Regel der Adaptiven Kontrolle von Anomalien löschen

Ausnahmen für die Regeln der Adaptiven Kontrolle von Anomalien importieren

Ausnahmen für die Regeln der Adaptiven Kontrolle von Anomalien exportieren

Updates für die Regeln der Adaptiven Kontrolle von Anomalien übernehmen

Meldungsvorlagen für die Adaptiven Kontrolle von Anomalien ändern

Berichte über die "Adaptive Kontrolle von Anomalien" anzeigen

Nach oben