Adaptive Kontrolle von Anomalien

Diese Komponente ist nur für Kaspersky Endpoint Security for Business Advanced und Kaspersky Total Security for Business verfügbar. Ausführliche Informationen über Kaspersky Endpoint Security for Business finden Sie auf der Kaspersky-Website.

Diese Komponente ist verfügbar, wenn das Programm Kaspersky Endpoint Security auf einem Computer mit dem Betriebssystem Windows für Workstation installiert ist. Diese Komponente ist nicht verfügbar, wenn das Programm Kaspersky Endpoint Security auf einem Computer mit dem Betriebssystem Windows für Server installiert ist.

Die Komponente „Adaptive Kontrolle von Anomalien“ überwacht und blockiert Aktionen, die für Computer des Unternehmensnetzwerks untypisch sind. Zur Überwachung von untypischen Aktionen verwendet die „Adaptive Kontrolle von Anomalien“ eine Auswahl von Regeln (z. B. die Regel Start von Windows PowerShell aus einem Office-Programm). Die Regeln wurden von den Kaspersky-Spezialisten auf Basis typischer Szenarien für schädliche Aktivitäten erstellt. Sie können ein Verhalten der „Adaptiven Kontrolle von Anomalien“ für jede einzelne Regeln auswählen und beispielsweise den Start von PowerShell-Skripten erlauben, um die Lösung von Unternehmensaufgaben zu automatisieren. Kaspersky Endpoint Security aktualisiert den Regelsatz aus den Programm-Datenbanken. Die Aktualisierung des Regelsatzes muss manuell bestätigt werden.

„Adaptive Kontrolle von Anomalien“ anpassen

Die Anpassung der „Adaptiven Kontrolle von Anomalien“ umfasst folgende Schritte:

1. Training der „Adaptiven Kontrolle von Anomalien“.

   Nachdem die „Adaptive Kontrolle von Anomalien“ aktiviert ist, funktionieren die Regeln im Lernmodus. Im Verlauf des Trainings überwacht die „Adaptive Kontrolle von Anomalien“ die Auslösung von Regeln und sendet Auslöseereignisse an Kaspersky Security Center. Jede Regel hat eine eigene Dauer für den Lernmodus. Die Dauer des Lernmodus wird von den Kaspersky-Experten vorgegeben. Gewöhnlich dauert der Lernmodus 2 Wochen.

   Wenn eine Regel während des Trainings nie ausgelöst wurde, betrachtet die „Adaptive Kontrolle von Anomalien“ die mit dieser Regel verbundenen Aktionen als untypisch. Kaspersky Endpoint Security blockiert alle Aktionen, die mit dieser Regel zusammenhängen.

   Wenn eine Regel während des Trainings ausgelöst wurde, protokolliert Kaspersky Endpoint Security die Ereignisse im Bericht über ausgelöste Regeln und im Speicher Auslösen von Regeln im Smart-Training-Status.

2. Analyse des Berichts über ausgelöste Regeln.

   Der Administrator analysiert den Bericht über ausgelöste Regeln oder den Inhalt des Speichers Auslösen von Regeln im Smart-Training-Status. Anschließend kann der Administrator das Verhalten der „Adaptiven Kontrolle von Anomalien“ bei einer Auslösung der Regel festlegen: blockieren oder erlauben. Außerdem kann der Administrator die Regelauslösung weiterhin überwachen und die Dauer des Lernmodus für das Programm verlängern. Ergreift der Administrator keine Maßnahmen, so läuft das Programm ebenfalls im Lernmodus weiter. Die Dauer des Lernmodus beginnt von vorne.

Die „Adaptive Kontrolle von Anomalien“ wird im Echtzeitmodus angepasst. Die „Adaptive Kontrolle von Anomalien“ wird wie folgt angepasst:

• Die „Adaptive Kontrolle von Anomalien“ beginnt automatisch, jene Aktionen zu blockieren, die mit Regeln zusammenhängen, die im Lernmodus nicht ausgelöst wurden.
• Kaspersky Endpoint Security fügt neue Regeln hinzu oder löscht veraltete Regeln.
• Der Administrator passt die Verwendung der „Adaptiven Kontrolle von Anomalien“ nach der Analyse des Berichts über ausgelöste Regeln und des Inhalts des Speichers Auslösen von Regeln im Smart-Training-Status an. Es wird empfohlen, den Bericht über ausgelöste Regeln und den Inhalt des Speichers Auslösen von Regeln im Smart-Training-Status.

Wenn ein Schadprogramm versucht, eine Aktion auszuführen, blockiert Kaspersky Endpoint Security die Aktion und zeigt eine Benachrichtigung an (siehe Abbildung unten).

Benachrichtigung der „Adaptiven Kontrolle von Anomalien”

Algorithmus der „Adaptiven Kontrolle von Anomalien”

Um über die Ausführung einer Aktion, die mit einer Regeln verbunden ist, zu entscheiden, nutzt Kaspersky Endpoint Security den folgenden Algorithmus (siehe Abbildung unten).

Algorithmus der „Adaptiven Kontrolle von Anomalien”

Einstellungen der Komponente „Adaptive Kontrolle von Anomalien”

Einstellung	Beschreibung
Statusbericht für Regeln der „Adaptiven Kontrolle von Anomalien“ (nur in der Konsole von Kaspersky Security Center verfügbar)	Dieser Bericht enthält Informationen zum Status der Erkennungsregeln der „Adaptiven Kontrolle von Anomalien“ (z. B. Deaktiviert oder Blockieren). Der Bericht wird für alle Administrationsgruppen erstellt.
Bericht über ausgelöste Regeln der Adaptive Kontrolle von Anomalien (nur in der Konsole von Kaspersky Security Center verfügbar)	Dieser Bericht enthält Informationen über untypische Aktionen, die mithilfe der „Adaptiven Kontrolle von Anomalien“ erkannt wurden. Der Bericht wird für alle Administrationsgruppen erstellt.
Regeln	Tabelle der Regeln der „Adaptiven Kontrolle von Anomalien“. Die Regeln wurden von den Kaspersky-Spezialisten auf Basis typischer Szenarien für potentiell schädliche Aktivitäten erstellt.
Vorlagen	Nachricht zum Blockieren. Vorlage der Nachricht an den Benutzer. Diese Nachricht wird angezeigt, wenn eine Regel der „Adaptiven Kontrolle von Anomalien“ ausgelöst wird, die eine untypische Aktion blockiert. Nachricht an den Administrator. Vorlage der Nachricht, die an den Administrator des lokalen Unternehmensnetzwerks gesendet wird, wenn eine Aktion nach Meinung des Benutzers irrtümlich blockiert wurde. Nachdem der Benutzer den Zugriff anfragt, sendet Kaspersky Endpoint Security ein Ereignis an Kaspersky Security Center: Nachricht an den Administrator über das Verbot einer Programmaktion. Die Ereignisbeschreibung enthält eine Nachricht an den Administrator mit ersetzten Variablen. Sie können diese Ereignisse in der Kaspersky Security Center-Konsole mithilfe der vordefinierten Ereignisauswahl Benutzeranfragen ansehen. Wenn Kaspersky Security Center in Ihrem Unternehmen nicht bereitgestellt wird oder keine Verbindung zum Administrationsserver besteht, sendet die App dem Administrator eine Nachricht an die angegebene E-Mail-Adresse.

Siehe auch Abschnitt zur Programmverwaltung über eine lokale Schnittstelle Adaptive Kontrolle von Anomalien aktivieren und deaktivieren Regel der Adaptiven Kontrolle von Anomalien aktivieren und deaktivieren Aktion für den Fall, dass eine Regel der Adaptiven Kontrolle von Anomalien ausgelöst wird, ändern Um eine Ausnahme für eine „Adaptive Kontrolle von Anomalien“-Regel zu löschen, gehen Sie wie folgt vor: Exportieren und Importieren von Ausnahmen für die Regeln der „Adaptiven Kontrolle von Anomalien” Updates für die Regeln der Adaptiven Kontrolle von Anomalien übernehmen Meldungsvorlagen für die Adaptiven Kontrolle von Anomalien ändern Berichte über die „Adaptive Kontrolle von Anomalien“ anzeigen

Nach oben