Adaptív Anomáliafelügyelő

Az Adaptív anomáliafelügyelő összetevő csak a Kaspersky Endpoint Security for Business Advanced és Kaspersky Total Security for Business rendszerekben érhető el (az üzleti célú Kaspersky Endpoint Security termékekről továbbiakat megtudhat a Kaspersky weboldalán).

Ez az összetevő akkor használható, ha a Kaspersky Endpoint Security alkalmazás telepítése munkaállomásokra szánt Microsoft Windows rendszert futtató számítógépre történt. Ez az összetevő nem használható, ha a Kaspersky Endpoint Security alkalmazás kiszolgálókra szánt Windows rendszert futtató számítógépre van telepítve.

Az Adaptív Anomáliafelügyelő összetevő megfigyeli és letiltja a potenciálisan gyanús tevékenységeket, amik nem megszokottak a cég hálózati számítógépeinél. Az Adaptív Anomáliafelügyelő egy szabálycsoport alapján követi nyomon a nem megszokott viselkedést (például a Microsoft PowerShell indítása egy Office-alkalmazásból szabályt). A szabályokat a Kaspersky szakemberei állították össze a rosszindulatú tevékenységek tipikus forgatókönyvei alapján. Konfigurálhatja, hogy az Adaptív Anomáliafelügyelő miként kezelje az egyes szabályokat és engedélyezheti olyan PowerShell szkriptek végrehajtását, amelyek bizonyos feladatokat automatizálnak. A Kaspersky Endpoint Security az alkalmazás adatbázisával együtt frissíti a szabálycsoportokat. A szabálycsoportok frissítését manuálisan kell megerősíteni.

Az Adaptív Anomáliafelügyelő beállításai

Az Adaptív Anomáliafelügyelő beállításai a következő lépésekből állnak:

1. Az Adaptív Anomáliafelügyelő betanítása.

   Miután engedélyezte az Adaptív Anomáliafelügyelőt, a szabályok tanuló módban vannak. A tanulás során az Adaptív Anomáliafelügyelő nyomon követi a szabályok végrehajtását kiváltó tevékenységeket és eseményriasztásokat küld a Kaspersky Security Center részére. Minden szabálynak megvan a saját tanulási ideje. A tanulási mód időtartamát a Kaspersky szakemberei határozták meg. Normális esetben a tanulási mód két hétig aktív.

   Ha egy szabály betartását a tanulási időszak során egyszer se váltották ki, akkor az Adaptív Anomáliafelügyelő az adott szabályhoz kapcsolódó tevékenységeket gyanúsnak fogja minősíteni. A Kaspersky Endpoint Security le fog tiltani az adott szabályhoz kapcsolódó minden tevékenységet.

   Ha egy szabály végrehajtását kiváltották a tanulási időszakban, akkor a Kaspersky Endpoint Security naplóbejegyzést készít az eseményekről a szabálykiváltó jelentésben és a Szabályok kiváltása Intelligens tanulási módban gyűjteményben.

2. A szabálykiváltó jelentés értelmezése.

   A szabálykiváltó jelentést vagy a Szabályok kiváltása Intelligens tanulási módban gyűjteményt a rendszergazdának kell értelmezni. A rendszergazda ezt követően kiválaszthatja az Adaptív Anomáliafelügyelő viselkedését az adott helyzetben, hogy blokkolja vagy engedélyezi a szabály betartását. A rendszergazda emellett folyamatosan nyomon követheti az adott szabály működését és kibővítheti a tanulási mód időtartamát. Ha a rendszergazda nem tesz semmit, az alkalmazás továbbra is tanulási módban fog működni. Az útmutató mód feltételek újraindultak.

Az Adaptív Anomáliafelügyelő konfigurálása valós időben történik. Az Adaptív Anomáliafelügyelő konfigurálása a következő csatornákon történik:

• Az Adaptív Anomáliafelügyelő automatikusan letiltja vagy engedélyezi a szabályokhoz társított tevékenységeket, amelyek nem lettek kiváltva tanulási módban.
• A Kaspersky Endpoint Security új szabályokat ad hozzá és eltávolítja az elavultakat.
• A rendszergazda azt követően konfigurálja az Adaptív Anomáliafelügyelő működését, hogy áttekintette a szabálykiváltó jelentést és a Szabályok kiváltása Intelligens tanulási módban gyűjtemény tartalmát. Javasoljuk, hogy ellenőrizze a szabálykiváltó jelentést és a Szabályok kiváltása Intelligens tanulási módban gyűjtemény tartalmát.

Amikor egy rosszindulatú alkalmazás megpróbál műveletet végrehajtani, a Kaspersky Endpoint Security letiltja a műveletet és értesítést jelenít meg (lásd az alábbi ábrát).

Adaptív Anomáliafelügyeleti értesítés

Az Adaptív Anomáliafelügyelő működési algoritmusa

A Kaspersky Endpoint Security a következő algoritmus alapján dönti el, hogy engedélyezze vagy letiltsa az adott szabályhoz társított műveletet (lásd az alábbi ábrán).

Az Adaptív Anomáliafelügyelő működési algoritmusa

Ebben a részben: Az Adaptív Anomáliafelügyelő engedélyezése és letiltása Az Adaptív Anomáliafelügyelő engedélyezése és letiltása Az Adaptív Anomáliafelügyeleti szabály kiváltásakor végrehajtott művelet módosítása Egy Adaptív Anomáliafelügyeleti szabály kizárásának létrehozása és szerkesztése Egy Adaptív Anomáliafelügyeleti szabály kizárásának törlése Kizárások importálása az Adaptív Anomáliafelügyeleti szabályokhoz Kizárások exportálása az Adaptív Anomáliafelügyeleti szabályokhoz Az Adaptív Anomáliafelügyeleti szabályok frissítéseinek alkalmazása Adaptív Anomáliafelügyelő üzenetsablonok szerkesztése Az Adaptív Anomáliafelügyelő jelentéseinek megtekintése

Oldal tetejére