アダプティブアノマリーコントロール

Kaspersky Security Center 12 Web コンソールでアダプティブアノマリーコントロールを管理できます。Kaspersky Security Center Cloud コンソールではアダプティブアノマリーコントロールを管理できません。Kaspersky Security Center 管理コンソールで、アダプティブアノマリーコントロールを管理できます。

アダプティブアノマリーコントロールコンポーネントは、Kaspersky Endpoint Security for Business Advanced のライセンスでのみ使用可能です(法人向けの Kaspersky Endpoint Security 製品の詳細については、カスペルスキーの Web サイトを参照してください)。

このコンポーネントは、ワークステーション用の Windows で動作するコンピューターに Kaspersky Endpoint Security がインストールされている場合に利用できます。このコンポーネントは、サーバー用の Windows で動作するコンピューターに Kaspersky Endpoint Security がインストールされている場合は利用できません。

アダプティブアノマリーコントロールは、企業のネットワーク内にあるコンピューターで一般的には発生しないはずの、疑わしい動作の監視とブロックを行います。アダプティブアノマリーコントロールでは、一般的には発生しないはずの異常な動作を監視するための複数のルール(「Office アプリケーションによる Microsoft PowerShell の起動」ルールなど)を使用します。これらのルールは、カスペルスキーのスペシャリストによって、悪意のあるソフトウェアが示す典型的な動作に基づいて作成されています。アダプティブアノマリーコントロールの設定で、それぞれのルールで実行する処理を指定できます。たとえば、業務プロセスの自動化で使用されている PowerShell スクリプトはルールの適用対象から除外するように設定することができます。Kaspersky Endpoint Security は、定義データベースをアップデートするのと同様に、アダプティブアノマリーコントロールルールも Kaspersky から提供されている最新のルールにアップデートします。ルールのアップデートの適用は手動で承認する必要があります。

アダプティブアノマリーコントロールの設定

アダプティブアノマリーコントロールの設定では、次のステップが必要です:

  1. アダプティブアノマリーコントロールのトレーニング

    アダプティブアノマリーコントロールを有効にすると、アダプティブアノマリーコントロールルールがトレーニングモードで動作します。トレーニング期間中、アダプティブアノマリーコントロールはルールを適用可能な動作が発生するかどうかを監視し、ルールを適用可能な動作が発生したらそのイベントを Kaspersky Security Center に送信します。ルールごとに、設定されているトレーニング期間は異なります。トレーニングモードの継続期間はカスペルスキーのエキスパートが設定しています。通常は、トレーニングモードの継続期間は 2 週間です。

    特定のルールを適用可能な動作がトレーニング期間中に 1 回も発生しなかった場合、アダプティブアノマリーコントロールは、そのルールの対象となる動作は平常時には発生しない疑わしい動作だと判断します。そのため、トレーニング終了後、該当するルールの適用対象となる動作はすべて Kaspersky Endpoint Security でブロックされるようになります。

    特定のルールを適用可能な動作がトレーニング期間中に発生した場合、Kaspersky Endpoint Security は「ルールの適用のレポート」と[スマートトレーニングモードでのルールの適用条件]リポジトリにイベントのログ記録を保存します。

  2. 「ルールの適用のレポート」の分析

    管理者は「ルールの適用のレポート」または[スマートトレーニングモードでのルールの適用条件]リポジトリの内容を分析する必要があります。分析結果に基づき、管理者はそれぞれのルールが適用されたときのアダプティブアノマリーコントロールによる処理を、「ブロック」または「許可」から選択します。管理者は、ルールの適用状況に関する情報をさらに収集した上で判断を行うたために、トレーニングモードの期間を延長することもできます。また、管理者がルールの適用状況のレポートに対する対応を行わなかった場合も、アダプティブアノマリーコントロールは引き続きトレーニングモードで動作します。トレーニングモードの残り期間もリセットされます。

アダプティブアノマリーコントロールの設定内容は、即座に動作に反映されます。アダプティブアノマリーコントロールの設定は、自動的に設定される場合と手動で設定する場合を合わせて、次の方法で設定されます:

悪意のあるアプリケーションによる動作が検知された場合、Kaspersky Endpoint Security はその動作をブロックし通知を表示します(以下の図を参照)。

KES11_AAC_Notification

アダプティブアノマリーコントロールの通知

アダプティブアノマリーコントロールの動作アルゴリズム

Kaspersky Endpoint Security は次の図のアルゴリズムに従って、ルールの適用対象となる動作の実行を許可するかブロックするかを判定します。

KES11_Adaptive_Control_Algorithm

アダプティブアノマリーコントロールの動作アルゴリズム

アダプティブアノマリーコントロールの設定

パラメータ

説明

ルールステータスのレポート

このレポートにはアダプティブアノマリーコントロールの検知ルールの状態に関する情報が表示されます(ルールの状態が「オフ」または「ブロック」など)。このレポートはすべての管理グループを対象に生成されます。

ルールの適用のレポート

このレポートには、アダプティブアノマリーコントロールを使用して検知された疑わしい動作に関する情報が含まれています。このレポートはすべての管理グループを対象に生成されます。

ルール

アダプティブアノマリーコントロールのルールのリスト。これらのルールは、カスペルスキーのスペシャリストによって、マルウェアの可能性があるプログラムが示す典型的な動作に基づいて作成されています。

メッセージのテンプレート

  • ブロック:疑わしい動作をブロックするアダプティブアノマリーコントロールルールが適用された際に表示されるメッセージのテンプレート。
  • 管理者に送信するメッセージ:ブロックが誤検知だと考えられる場合に、社内のローカルネットワークの管理者に送信できるメッセージのテンプレート。

参照:製品のローカルインターフェイスを使用した管理

アダプティブアノマリーコントロールの有効化と無効化

アダプティブアノマリーコントロールルールの有効化と無効化

アダプティブアノマリーコントロールルールが適用されたときに実行する処理の変更

アダプティブアノマリーコントロールルールの除外の作成と編集

アダプティブアノマリーコントロールルールの除外の削除

アダプティブアノマリーコントロールルールの除外のインポート

アダプティブアノマリーコントロールルールの除外のエクスポート

アダプティブアノマリーコントロールルールへのアップデートの適用

アダプティブアノマリーコントロールのメッセージテンプレートの編集

アダプティブアノマリーコントロールのレポートの表示

ページのトップに戻る