Adaptive Kontrolle von Anomalien
Sie können die "Adaptive Kontrolle von Anomalien" in Kaspersky Security Center 12 Web Console verwalten. Die "Adaptive Kontrolle von Anomalien" kann nicht im Programm Kaspersky Security Center Cloud Console verwaltet werden. Sie können die "Adaptive Kontrolle von Anomalien" auch in der Verwaltungskonsole für Kaspersky Security Center verwalten.
Die Komponente "Adaptive Kontrolle von Anomalien" ist nur für die Lösungen Kaspersky Endpoint Security for Business Advanced und Kaspersky Total Security for Business verfügbar (nähere Informationen über die Lösungen Kaspersky Endpoint Security for Business finden Sie auf der Kaspersky-Website).
Diese Komponente ist verfügbar, wenn das Programm Kaspersky Endpoint Security auf einem Computer mit dem Betriebssystem Windows für Workstation installiert ist. Diese Komponente ist nicht verfügbar, wenn das Programm Kaspersky Endpoint Security auf einem Computer mit dem Betriebssystem Windows für Server installiert ist.
Die Komponente "Adaptive Kontrolle von Anomalien" überwacht und blockiert verdächtige Aktionen, die für Computer des Unternehmensnetzwerks untypisch sind. Zur Überwachung von untypischen Aktionen verwendet die "Adaptive Kontrolle von Anomalien" eine Auswahl von Regeln (z. B. die Regel Start von Windows PowerShell aus einem Office-Programm). Die Regeln wurden von den Kaspersky-Spezialisten auf Basis typischer Szenarien für schädliche Aktivitäten erstellt. Sie können ein Verhalten der "Adaptiven Kontrolle von Anomalien" für jede einzelne Regeln auswählen und beispielsweise den Start von PowerShell-Skripten erlauben, um die Lösung von Unternehmensaufgaben zu automatisieren. Kaspersky Endpoint Security aktualisiert den Regelsatz aus den Programm-Datenbanken. Die Aktualisierung des Regelsatzes muss manuell bestätigt werden.
"Adaptive Kontrolle von Anomalien" anpassen
Die Anpassung der "Adaptiven Kontrolle von Anomalien" umfasst folgende Schritte:
- Training der "Adaptiven Kontrolle von Anomalien".
Nachdem die "Adaptive Kontrolle von Anomalien" aktiviert ist, funktionieren die Regeln im Lernmodus. Im Verlauf des Trainings überwacht die "Adaptive Kontrolle von Anomalien" die Auslösung von Regeln und sendet Auslöseereignisse an Kaspersky Security Center. Jede Regel hat eine eigene Dauer für den Lernmodus. Die Dauer des Lernmodus wird von den Kaspersky-Experten vorgegeben. Gewöhnlich dauert der Lernmodus 2 Wochen.
Wenn eine Regel während des Trainings nie ausgelöst wurde, betrachtet die "Adaptive Kontrolle von Anomalien" die mit dieser Regel verbundenen Aktionen als verdächtig. Kaspersky Endpoint Security blockiert alle Aktionen, die mit dieser Regel zusammenhängen.
Wenn eine Regel während des Trainings ausgelöst wurde, protokolliert Kaspersky Endpoint Security die Ereignisse im Bericht über ausgelöste Regeln und im Speicher Auslösung von Regeln im Lernmodus.
- Analyse des Berichts über ausgelöste Regeln.
Der Administrator analysiert den Bericht über ausgelöste Regeln oder den Inhalt des Speichers Auslösung von Regeln im Lernmodus. Anschließend kann der Administrator das Verhalten der "Adaptiven Kontrolle von Anomalien" bei einer Auslösung der Regel festlegen: blockieren oder erlauben. Außerdem kann der Administrator die Regelauslösung weiterhin überwachen und die Dauer des Lernmodus für das Programm verlängern. Ergreift der Administrator keine Maßnahmen, so läuft das Programm ebenfalls im Lernmodus weiter. Die Dauer des Lernmodus beginnt von vorne.
Die "Adaptive Kontrolle von Anomalien" wird im Echtzeitmodus angepasst. Die "Adaptive Kontrolle von Anomalien" wird wie folgt angepasst:
- Die "Adaptive Kontrolle von Anomalien" beginnt automatisch, jene Aktionen zu blockieren, die mit Regeln zusammenhängen, die im Lernmodus nicht ausgelöst wurden.
- Kaspersky Endpoint Security fügt neue Regeln hinzu oder löscht veraltete Regeln.
- Der Administrator passt die Verwendung der "Adaptiven Kontrolle von Anomalien" nach der Analyse des Berichts über ausgelöste Regeln und des Inhalts des Speichers Auslösung von Regeln im Lernmodus an. Es wird empfohlen, den Bericht über ausgelöste Regeln und den Inhalt des Speichers Auslösung von Regeln im Lernmodus zu überprüfen.
Wenn ein Schadprogramm versucht, eine Aktion auszuführen, blockiert Kaspersky Endpoint Security die Aktion und zeigt eine Benachrichtigung an (siehe Abbildung unten).
Benachrichtigung der "Adaptiven Kontrolle von Anomalien"
Algorithmus der "Adaptiven Kontrolle von Anomalien"
Um über die Ausführung einer Aktion, die mit einer Regeln verbunden ist, zu entscheiden, nutzt Kaspersky Endpoint Security den folgenden Algorithmus (siehe Abbildung unten).
Algorithmus der "Adaptiven Kontrolle von Anomalien"
Einstellungen der Komponente "Adaptive Kontrolle von Anomalien"
Einstellung |
Beschreibung |
|---|---|
Bericht zum Regelstatus |
Dieser Bericht enthält Informationen zum Status der Erkennungsregeln der "Adaptiven Kontrolle von Anomalien" (z. B. Deaktiviert oder Blockieren). Der Bericht wird für alle Administrationsgruppen erstellt. |
Bericht über ausgelöste Regeln |
Dieser Bericht enthält Informationen über verdächtige Aktionen, die mithilfe der "Adaptiven Kontrolle von Anomalien" erkannt wurden. Der Bericht wird für alle Administrationsgruppen erstellt. |
Regeln |
Tabelle der Regeln der "Adaptiven Kontrolle von Anomalien". Die Regeln wurden von den Kaspersky-Spezialisten auf Basis typischer Szenarien für potentiell schädliche Aktivitäten erstellt. |
Vorlagen für Nachrichten |
|