Адаптивный контроль аномалий

Вы можете управлять Адаптивным контролем аномалий в Kaspersky Security Center 12 Web Console. Управлять Адаптивным контролем аномалий в программе Kaspersky Security Center Cloud Console невозможно. Также вы можете управлять Адаптивным контролем аномалий в Консоли администрирования Kaspersky Security Center.

Компонент Адаптивный контроль аномалий доступен только для продуктов Kaspersky Endpoint Security для бизнеса Расширенный и Kaspersky Total Security для бизнеса (более подробная информация о продуктах Kaspersky Endpoint Security для бизнеса доступна на сайте "Лаборатории Касперского").

Этот компонент доступен, если программа Kaspersky Endpoint Security установлена на компьютере под управлением операционной системы Windows для рабочих станций. Этот компонент недоступен, если программа Kaspersky Endpoint Security установлена на компьютере под управлением операционной системы Windows для серверов.

Компонент Адаптивный контроль аномалий отслеживает и блокирует подозрительные действия, нехарактерные для компьютеров сети организации. Для отслеживания нехарактерных действий Адаптивный контроль аномалий использует набор правил (например, правило Запуск Windows PowerShell из офисной программы). Правила созданы специалистами "Лаборатории Касперского" на основе типичных сценариев вредоносной активности. Вы можете выбрать поведение Адаптивного контроля аномалий для каждого из правил и, например, разрешить запуск PowerShell-скриптов для автоматизации решения корпоративных задач. Kaspersky Endpoint Security обновляет набор правил с базами программы. Обновление набора правил нужно подтверждать вручную.

Настройка Адаптивного контроля аномалий

Настройка Адаптивного контроля аномалий состоит из следующих этапов:

  1. Обучение Адаптивного контроля аномалий.

    После включения Адаптивного контроля аномалий правила работают в обучающем режиме. В ходе обучения Адаптивный контроль аномалий отслеживает срабатывание правил и отправляет события срабатывания в Kaspersky Security Center. Каждое правило имеет свой срок действия обучающего режима. Срок действия обучающего режима устанавливают специалисты "Лаборатории Касперского". Обычно срок действия обучающего режима составляет 2 недели.

    Если в ходе обучения правило ни разу не сработало, Адаптивный контроль аномалий будет считать действия, связанные с этим правилом, подозрительными. Kaspersky Endpoint Security будет блокировать все действия, связанные с этим правилом.

    Если в ходе обучения правило сработало, Kaspersky Endpoint Security регистрирует события в отчете о срабатываниях правил и в хранилище Срабатывание правил в обучающем режиме.

  2. Анализ отчета о срабатывании правил.

    Администратор анализирует отчет о срабатываниях правил или содержание хранилища Срабатывание правил в обучающем режиме. Далее администратор может выбрать поведение Адаптивного контроля аномалий при срабатывании правила: блокировать или разрешить. Также администратор может продолжить отслеживать срабатывание правила и продлить работу программы в обучающем режиме. Если администратор не предпринимает никаких мер, программа также продолжит работать в обучающем режиме. Отсчет срока действия обучающего режима начинается заново.

Настройка Адаптивного контроля аномалий происходит в режиме реального времени. Настройка Адаптивного контроля аномалий осуществляется по следующим каналам:

При попытке вредоносной программы выполнить действие, Kaspersky Endpoint Security заблокирует действие и покажет уведомление (см. рис. ниже).

KES11_AAC_Notification

Уведомление Адаптивного контроля аномалий

Алгоритм работы Адаптивного контроля аномалий

Kaspersky Endpoint Security принимает решение о выполнении действия, связанного с правилом, по следующему алгоритму (см. рис. ниже).

KES11_Adaptive_Control_Algorithm

Алгоритм работы Адаптивного контроля аномалий

Параметры компонента Адаптивный контроль аномалий

Параметр

Описание

Отчет о состоянии правил

В этом отчете содержится информация о статусе правил обнаружения Адаптивного контроля аномалий (например, статусы Выключено или Блокировать). Отчет формируется для всех групп администрирования.

Отчет о срабатываниях правил

В этом отчете содержится информация о подозрительных действиях, обнаруженных с помощью Адаптивного контроля аномалий. Отчет формируется для всех групп администрирования.

Правила

Таблица правил Адаптивного контроля аномалий. Правила созданы специалистами "Лаборатории Касперского" на основе типичных сценариев потенциально вредоносной активности.

Шаблоны сообщений

  • Блокировка. Шаблон сообщения для пользователя, которое появляется при срабатывании правила Адаптивного контроля аномалий, блокирующего подозрительное действие.
  • Сообщение администратору. Шаблон сообщения для отправки администратору локальной сети организации в случае, если блокировка действия, по мнению пользователя, произошла ошибочно.

См. также об управлении программой через локальный интерфейс

Включение и выключение Адаптивного контроля аномалий

Включение и выключение правила Адаптивного контроля аномалий

Изменение действия при срабатывании правила Адаптивного контроля аномалий

Создание и изменение исключения для правила Адаптивного контроля аномалий

Удаление исключения для правила Адаптивного контроля аномалий

Импорт исключений для правил Адаптивного контроля аномалий

Экспорт исключений для правил Адаптивного контроля аномалий

Применение обновлений для правил Адаптивного контроля аномалий

Изменение шаблонов сообщений Адаптивного контроля аномалий

Просмотр отчетов Адаптивного контроля аномалий

В начало