適應性異常控制
該元件僅適用於 Kaspersky Endpoint Security for Business Advanced 和 Kaspersky Total Security for Business。有關 Kaspersky Endpoint Security for Business 的詳細資訊,請造訪 Kaspersky 網站。
如果 Kaspersky Endpoint Security 安裝在執行 Windows for Workstations 的電腦上,則該元件可用。如果 Kaspersky Endpoint Security 安裝在執行 Windows for Servers 的電腦上,則該元件不可用。
自適應異常控制元件會監視並封鎖不是公司網路內電腦典型操作的相關操作。自適應異常控制使用一組規則來偵錯異常行為(例如,從 Office 應用程式啟動 Microsoft PowerShell 規則)。規則由 Kaspersky 專家根據惡意活動的典型情景建立。您可以配置“自適應異常控制”處理每條規則的方式,例如,允許執行使某些工作流工作自動化的 PowerShell 指令碼。Kaspersky Endpoint Security 會同時更新規則集和應用程式資料庫。規則集的更新必須手動確認。
“自適應異常控制”設定
配置“自適應異常控制”包括以下步驟:
- 訓練“自適應異常控制”。
啟用“自適應異常控制”後,其規則在訓練模式下工作。在訓練期間,“自適應異常控制”監控規則觸發並將觸發事件傳送到卡巴斯基安全管理中心。每條規則都有自己的訓練模式持續時間。訓練模式持續時間由 Kaspersky 專家設定。通常,訓練模式保持活動兩周。
如果在訓練期間某條規則完全未觸發,“自適應異常控制”會將與此規則關聯的操作視為非典型操作。Kaspersky Endpoint Security 將封鎖與該規則相關的所有操作。
如果在訓練期間觸發了某條規則,Kaspersky Endpoint Security 會將事件記錄在規則觸發報告和“智慧訓練模式規則觸發”儲存區中。
- 分析規則觸發報告。
管理員分析規則觸發報告或者“智慧訓練模式規則觸發”儲存區的內容。然後管理員可以選取在觸發規則時“自適應異常控制”的行為:封鎖或允許。管理員還可以繼續監控規則的工作方式並延長訓練模式的持續時間。如果管理員未採取任何操作,應用程式也將繼續在訓練模式下工作。訓練模式期限重新開始。
“自適應異常控制”為即時配置。“自適應異常控制”透過以下通道配置:
- “自適應異常控制”自動開始封鎖與從未在訓練模式中觸發的規則相關聯的操作。
- Kaspersky Endpoint Security 新增新規則或刪除過時規則。
- 管理員在檢視規則觸發報告和“智慧訓練模式規則觸發”儲存區的內容後配置“自適應異常控制”的操作。建議檢查規則觸發報告和“智慧訓練模式規則觸發儲存區”的內容。
當惡意應用程式嘗試執行操作時,Kaspersky Endpoint Security 將封鎖該操作並顯示通知(請參見下圖)。
“自適應異常控制”通知
“自適應異常控制”操作演算法
Kaspersky Endpoint Security 根據以下演算法決定是允許還是封鎖與某條規則關聯的操作(請參見下圖)。
“自適應異常控制”操作演算法
自適應異常控制元件設定
參數 |
描述 |
|---|---|
規則狀態報告 (僅在卡巴斯基安全管理中心主控台中可用) |
該報告包含有關自適應異常控制偵測規則狀態的資訊(例如,關閉或封鎖)。該報告針對所有管理群組生成。 |
規則觸發報告 (僅在卡巴斯基安全管理中心主控台中可用) |
該報告包含使用“自適應異常控制”偵測到的非典型操作的相關資訊。該報告針對所有管理群組生成。 |
規則 |
自適應異常控制規則表。規則由 Kaspersky 專家根據疑似惡意活動的典型情景建立。 |
範本 |
|