Adaptív Anomáliafelügyelő
Az Adaptív Anomáliafelügyelőt a Kaspersky Security Center 12 Web Console helyen kezelheti. Az Adaptív Anomáliafelügyelő nem kezelhető a Kaspersky Security Center Cloud Console helyen. Az Adaptív Anomáliafelügyelőt a Kaspersky Security Center Adminisztrációs konzolban is kezelheti.
Az Adaptív anomáliafelügyelő összetevő csak a Kaspersky Endpoint Security for Business Advanced és Kaspersky Total Security for Business rendszerekben érhető el (az üzleti célú Kaspersky Endpoint Security termékekről továbbiakat megtudhat a Kaspersky weboldalán).
Ez az összetevő akkor használható, ha a Kaspersky Endpoint Security alkalmazás telepítése munkaállomásokra szánt Microsoft Windows rendszert futtató számítógépre történt. Ez az összetevő nem használható, ha a Kaspersky Endpoint Security alkalmazás kiszolgálókra szánt Windows rendszert futtató számítógépre van telepítve.
Az Adaptív Anomáliafelügyelő összetevő megfigyeli és letiltja a potenciálisan gyanús tevékenységeket, amik nem megszokottak a cég hálózati számítógépeinél. Az Adaptív Anomáliafelügyelő egy szabálycsoport alapján követi nyomon a nem megszokott viselkedést (például a Microsoft PowerShell indítása egy Office-alkalmazásból szabályt). A szabályokat a Kaspersky szakemberei állították össze a rosszindulatú tevékenységek tipikus forgatókönyvei alapján. Konfigurálhatja, hogy az Adaptív Anomáliafelügyelő miként kezelje az egyes szabályokat és engedélyezheti olyan PowerShell szkriptek végrehajtását, amelyek bizonyos feladatokat automatizálnak. A Kaspersky Endpoint Security az alkalmazás adatbázisával együtt frissíti a szabálycsoportokat. A szabálycsoportok frissítését manuálisan kell megerősíteni.
Az Adaptív Anomáliafelügyelő beállításai
Az Adaptív Anomáliafelügyelő beállításai a következő lépésekből állnak:
- Az Adaptív Anomáliafelügyelő betanítása.
Miután engedélyezte az Adaptív Anomáliafelügyelőt, a szabályok tanuló módban vannak. A tanulás során az Adaptív Anomáliafelügyelő nyomon követi a szabályok végrehajtását kiváltó tevékenységeket és eseményriasztásokat küld a Kaspersky Security Center részére. Minden szabálynak megvan a saját tanulási ideje. A tanulási mód időtartamát a Kaspersky szakemberei határozták meg. Normális esetben a tanulási mód két hétig aktív.
Ha egy szabály betartását a tanulási időszak során egyszer se váltották ki, akkor az Adaptív Anomáliafelügyelő az adott szabályhoz kapcsolódó tevékenységeket gyanúsnak fogja minősíteni. A Kaspersky Endpoint Security le fog tiltani az adott szabályhoz kapcsolódó minden tevékenységet.
Ha egy szabály végrehajtását kiváltották a tanulási időszakban, akkor a Kaspersky Endpoint Security naplóbejegyzést készít az eseményekről a szabálykiváltó jelentésben és a Szabályok kiváltása Intelligens tanulási módban gyűjteményben.
- A szabálykiváltó jelentés értelmezése.
A szabálykiváltó jelentést vagy a Szabályok kiváltása Intelligens tanulási módban gyűjteményt a rendszergazdának kell értelmezni. A rendszergazda ezt követően kiválaszthatja az Adaptív Anomáliafelügyelő viselkedését az adott helyzetben, hogy blokkolja vagy engedélyezi a szabály betartását. A rendszergazda emellett folyamatosan nyomon követheti az adott szabály működését és kibővítheti a tanulási mód időtartamát. Ha a rendszergazda nem tesz semmit, az alkalmazás továbbra is tanulási módban fog működni. Az útmutató mód feltételek újraindultak.
Az Adaptív Anomáliafelügyelő konfigurálása valós időben történik. Az Adaptív Anomáliafelügyelő konfigurálása a következő csatornákon történik:
- Az Adaptív Anomáliafelügyelő automatikusan letiltja vagy engedélyezi a szabályokhoz társított tevékenységeket, amelyek nem lettek kiváltva tanulási módban.
- A Kaspersky Endpoint Security új szabályokat ad hozzá és eltávolítja az elavultakat.
- A rendszergazda azt követően konfigurálja az Adaptív Anomáliafelügyelő működését, hogy áttekintette a szabálykiváltó jelentést és a Szabályok kiváltása Intelligens tanulási módban gyűjtemény tartalmát. Javasoljuk, hogy ellenőrizze a szabálykiváltó jelentést és a Szabályok kiváltása Intelligens tanulási módban gyűjtemény tartalmát.
Amikor egy rosszindulatú alkalmazás megpróbál műveletet végrehajtani, a Kaspersky Endpoint Security letiltja a műveletet és értesítést jelenít meg (lásd az alábbi ábrát).
Adaptív Anomáliafelügyeleti értesítés
Az Adaptív Anomáliafelügyelő működési algoritmusa
A Kaspersky Endpoint Security a következő algoritmus alapján dönti el, hogy engedélyezze vagy letiltsa az adott szabályhoz társított műveletet (lásd az alábbi ábrán).
Az Adaptív Anomáliafelügyelő működési algoritmusa
Adaptív Anomáliafelügyelő összetevő beállításai
Paraméter |
Leírás |
|---|---|
Szabályállapot jelentés |
Ez a jelentés az Adaptív Anomáliafelügyelő szabályészleléseinek állapotáról tartalmaz információkat (például Kikapcsolva vagy Letiltva). A jelentés minden rendszergazdai csoport számára létrejön. |
Találati jelentés |
Ez a jelentés tartalmazza az Adaptív Anomáliafelügyelő által észlelt gyanús tevékenységek információit. A jelentés minden rendszergazdai csoport számára létrejön. |
Szabályok |
Adaptív Anomáliafelügyeleti szabályok táblázata A szabályokat a Kaspersky szakemberei hozták létre, a potenciálisan kártékony tevékenységek jellemző forgatókönyvei alapján. |
Üzenetsablonok |
|