Control anomalie adaptivă
Puteți gestiona funcția Control adaptiv al anomaliilor în Kaspersky Security Center 12 Web Console. Funcția Control adaptiv al anomaliilor nu poate fi gestionată în Kaspersky Security Center Cloud Console. Puteți gestiona, de asemenea, funcția Control adaptiv al anomaliilor în Consola de administrare Kaspersky Security Center.
Componenta Control adaptiv al anomaliilor este disponibilă numai pentru soluțiile Kaspersky Endpoint Security for Business Advanced și Kaspersky Total Security for Business. (Aflați mai multe despre produsele Kaspersky Endpoint Security pentru companii la Site web Kaspersky).
Această componentă este disponibilă dacă aplicația Kaspersky Endpoint Security este instalată pe un computer pe care se execută Windows pentru stații de lucru. Această componentă nu este disponibilă dacă aplicația Kaspersky Endpoint Security este instalată pe un computer pe care se execută Windows pentru servere.
Componenta Control adaptiv al anomaliilor monitorizează și blochează acțiunile suspecte care nu sunt tipice pentru computerele din rețeaua unei companii. Componenta Control adaptiv al anomaliilor utilizează un set de reguli pentru a urmări comportamentul necaracteristic (de exemplu, regula Pornire Microsoft PowerShell din aplicația de birou). Regulile sunt create de specialiștii Kaspersky pe baza scenariilor tipice de activitate periculoasă. Puteți configura modul în care componenta Control adaptiv al anomaliilor controlează fiecare regulă și, de exemplu, permite executarea scripturilor PowerShell care automatizează anumite activități ale fluxului de lucru. Kaspersky Endpoint Security actualizează setul de reguli împreună cu bazele de date ale aplicațiilor. Actualizările seturilor de reguli trebuie să fie confirmate manual.
Setările componentei Control adaptiv al anomaliilor
Configurarea componentei Control adaptiv al anomaliilor constă în următorii pași:
- Instruire componentă Control adaptiv al anomaliilor.
După ce activați componenta Control adaptiv al anomaliilor, regulile sale funcționează în modul instruire. În timpul instruirii, componenta Control adaptiv al anomaliilor monitorizează regulile de declanșare și trimite evenimente de declanșare către Kaspersky Security Center. Fiecare regulă are propria sa durată a modului de instruire. Durata modului de instruire este setată de către experții de la Kaspersky. În mod normal, modul de instruire este activ timp de două săptămâni.
Dacă o regulă nu a fost declanșată deloc în timpul instruirii, componenta Control adaptiv al anomaliilor va considera acțiunile asociate cu această regulă ca fiind suspecte. Kaspersky Endpoint Security va bloca toate acțiunile asociate cu acea regulă.
Dacă o regulă a fost declanșată în timpul instruirii, Kaspersky Endpoint Security înregistrează evenimentele în Raport declanșare regulă și în depozitul Declanșarea regulilor în modul Instruire inteligentă.
- Analizarea raportului declanșării regulii.
Administratorul analizează raportul declanșării regulii sau conținutul depozitului Declanșarea regulilor în modul Instruire inteligentă. Apoi, administratorul poate selecta comportamentul componentei Control adaptiv al anomaliilor atunci când regula este declanșată: să o blocheze sau să o accepte. De asemenea, administratorul poate continua să monitorizeze modul în care funcționează regula și să extindă durata modului de instruire. Dacă administratorul nu întreprinde nicio măsură, aplicația va continua, de asemenea, să funcționeze în modul de instruire. Termenul modului de instruire este repornit.
Componenta Control adaptiv al anomaliilor este configurată în timp real. Componenta Control adaptiv al anomaliilor este configurată prin următoarele metode:
- Componenta Control adaptiv al anomaliilor începe automat să blocheze acțiunile asociate regulilor care nu au fost declanșate niciodată în modul de instruire.
- Kaspersky Endpoint Security adaugă noi reguli sau le elimină pe cele învechite.
- Administratorul configurați funcționarea componentei Control adaptiv al anomaliilor după ce a examinat raportul de declanșare a regulilor și conținutul depozitului Declanșarea regulilor în modul Instruire inteligentă. Se recomandă analizarea raportului declanșării regulii sau conținutul depozitului Declanșarea regulilor în modul Instruire inteligentă.
Când o aplicație periculoasă încearcă să efectueze o acțiune, Kaspersky Endpoint Security va bloca acțiunea și va afișa o notificare (consultați figura de mai jos).
Notificările componentei Control adaptiv al anomaliilor
Algoritmul de funcționare al componentei Control adaptiv al anomaliilor
Kaspersky Endpoint Security decide dacă va permite sau va bloca o acțiune asociată cu o regulă pe baza următorului algoritm (consultați figura de mai jos).
Algoritmul de funcționare al componentei Control adaptiv al anomaliilor
Setările componentei Control adaptiv al anomaliilor
Parametru |
Descriere |
|---|---|
Raport stare reguli |
Acest raport conține informații despre starea regulilor de detectare ale componentei Control adaptiv al anomaliilor (de exemplu, Oprit sau Blocare). Raportul se generează pentru toate grupurile de administrare. |
Raport declanșare regulă |
Acest raport conține informații despre acțiunile suspecte detectate utilizând componenta Control adaptiv al anomaliilor. Raportul se generează pentru toate grupurile de administrare. |
Reguli |
Tabel cu regulile componentei Control adaptiv al anomaliilor. Regulile sunt create de specialiștii Kaspersky pe baza scenariilor tipice de activitate potențial periculoasă. |
Şabloane de mesaje |
|