Uyarlamalı Anomali Denetimi
Uyarlamalı Anomali Denetimi bileşeni, yalnızca Kaspersky Endpoint Security for Business Advanced ve Kaspersky Total Security for Business için kullanılabilir (İşletmeler için Kaspersky Endpoint Security ürünleri hakkında daha fazla bilgiye Kaspersky İnternet sitesinden ulaşabilirsiniz).
Bu bileşen, İş istasyonları için Windows’un kurulu olduğu bir bilgisayara Kaspersky Endpoint Security yüklendiğinde kullanılabilir. Bu bileşen, sunucular için Windows’un kurulu olduğu bir bilgisayara Kaspersky Endpoint Security yüklendiğinde kullanılamaz.
Uyarlamalı Anomali Denetimi bileşeni, şirketin ağındaki bilgisayarlarda tipik olarak görülmeyen şüpheli eylemleri izler ve engeller. Uyarlamalı Anomali Denetimi, tipik olmayan davranışı izlemek için kurallar dizisi kullanır (örneğin, Microsoft PowerShell'in Office uygulamasından başlatılması kuralı). Kurallar, Kaspersky uzmanları tarafından zararlı etkinliğin tipik senaryolarına dayanarak oluşturulur. Uyarlamalı Anomali Denetiminin her bir kuralı nasıl ele aldığını yapılandırabilirsiniz (örneğin, belirli iş akışı görevlerini otomatikleştiren PowerShell komut dizilerinin yürütülmesine izin vermek). Kaspersky Endpoint Security, uygulama veritabanlarıyla birlikte kurallar dizisini de günceller. Kurallar dizisinde yapılan güncellemeler elle onaylanmalıdır.
Uyarlamalı Anomali Denetimi ayarları
Uyarlamalı anomali denetimini yapılandırma işlemi şu adımlardan oluşur:
- Uyarlamalı Anomali Denetimi eğitimi.
Uyarlamalı Anomali Denetimini etkinleştirmenizin ardından kurallar eğitim modunda çalışır. Eğitim sırasında Uyarlamalı Anomali Denetimi, kural tetiklemeyi izler ve tetikleme etkinliklerini Kaspersky Security Center'a gönderir. Her kuralın kendi eğitim modu süresi vardır. Eğitim modunun süresi Kaspersky uzmanları tarafından belirlenir. Normalde eğitim modu iki hafta boyunca etkindir.
Bir kural eğitim boyunca hiç tetiklenmezse Uyarlamalı Anomali Denetimi bu kuralla ilgili eylemleri şüpheli olarak ele alır. Kaspersky Endpoint Security bu kuralla ilgili tüm eylemleri engeller.
Eğitim sırasında bir kural tetiklendiyse Kaspersky Endpoint Security, etkinlikleri kural tetikleme raporunda ve Akıllı Eğitim modunda kuralların tetiklenmesi veri havuzunda günlüğe kaydeder.
- Kural tetikleme raporunu analiz etme.
Yönetici, kural tetikleme raporunu veya Akıllı Eğitim modunda kuralların tetiklenmesi veri havuzunun içeriğini analiz eder. Ardından yönetici, kural tetiklendiğinde Uyarlamalı Anomali Denetiminin davranışını seçebilir: engelleme veya izin verme. Yönetici ayrıca kuralın nasıl çalıştığını izlemeye devam edebilir ve eğitim modunun süresini uzatabilir. Yönetici hiçbir eylemde bulunmazsa uygulama da eğitim modunda çalışmaya devam eder. Eğitim modu süresi yeniden başlatılır.
Uyarlamalı Anomali Denetimi gerçek zamanlı olarak yapılandırılır. Uyarlamalı Anomali Denetimi şu kanallar üzerinden yapılandırılır:
- Uyarlamalı Anomali Denetimi, eğitim modunda hiç tetiklenmeyen kurallarla ilgili eylemleri otomatik olarak engellemeye başlar.
- Kaspersky Endpoint Security yeni kurallar ekler veya kullanılmayan kuralları kaldırır.
- Yönetici, kural tetikleme raporunu ve Akıllı Eğitim modunda kuralların tetiklenmesi veri havuzunun içeriğini gözden geçirdikten sonra Uyarlamalı Anomali Denetiminin çalışmasını yapılandırır. Kural tetikleme raporunun ve Akıllı Eğitim modunda kuralların tetiklenmesi veri havuzunun içeriğinin kontrol edilmesi önerilir.
Zararlı bir uygulama eylemde bulunmaya çalıştığında Kaspersky Endpoint Security, eylemi engeller ve bir bildirim gösterir (aşağıdaki resme bakın).
Uyarlamalı Anomali Denetimi bildirimi
Uyarlamalı Anomali Denetimi çalışma algoritması
Kaspersky Endpoint Security, bir kuralla ilgili eyleme izin verilip verilmeyeceğini aşağıdaki algoritmaya (aşağıdaki resme bakın) göre belirler.
Uyarlamalı Anomali Denetimi çalışma algoritması