Адаптивный контроль аномалий

Этот компонент доступен только для решений Kaspersky Endpoint Security для бизнеса Расширенный и Kaspersky Total Security для бизнеса. Подробнее о решениях Kaspersky Endpoint Security для бизнеса см. на сайте "Лаборатории Касперского".

Этот компонент доступен, если программа Kaspersky Endpoint Security установлена на компьютере под управлением операционной системы Windows для рабочих станций. Этот компонент недоступен, если программа Kaspersky Endpoint Security установлена на компьютере под управлением операционной системы Windows для серверов.

Компонент Адаптивный контроль аномалий отслеживает и блокирует действия, нехарактерные для компьютеров сети организации. Для отслеживания нехарактерных действий Адаптивный контроль аномалий использует набор правил (например, правило Запуск Windows PowerShell из офисной программы). Правила созданы специалистами "Лаборатории Касперского" на основе типичных сценариев вредоносной активности. Вы можете выбрать поведение Адаптивного контроля аномалий для каждого из правил и, например, разрешить запуск PowerShell-скриптов для автоматизации решения корпоративных задач. Kaspersky Endpoint Security обновляет набор правил с базами программы. Обновление набора правил нужно подтверждать вручную.

Настройка Адаптивного контроля аномалий

Настройка Адаптивного контроля аномалий состоит из следующих этапов:

1. Обучение Адаптивного контроля аномалий.

   После включения Адаптивного контроля аномалий правила работают в обучающем режиме. В ходе обучения Адаптивный контроль аномалий отслеживает срабатывание правил и отправляет события срабатывания в Kaspersky Security Center. Каждое правило имеет свой срок действия обучающего режима. Срок действия обучающего режима устанавливают специалисты "Лаборатории Касперского". Обычно срок действия обучающего режима составляет 2 недели.

   Если в ходе обучения правило ни разу не сработало, Адаптивный контроль аномалий будет считать действия, связанные с этим правилом, нехарактерным. Kaspersky Endpoint Security будет блокировать все действия, связанные с этим правилом.

   Если в ходе обучения правило сработало, Kaspersky Endpoint Security регистрирует события в отчете о срабатываниях правил и в хранилище Срабатывание правил в состоянии Интеллектуальное обучение.

2. Анализ отчета о срабатывании правил.

   Администратор анализирует отчет о срабатываниях правил или содержание хранилища Срабатывание правил в состоянии Интеллектуальное обучение. Далее администратор может выбрать поведение Адаптивного контроля аномалий при срабатывании правила: блокировать или разрешить. Также администратор может продолжить отслеживать срабатывание правила и продлить работу программы в обучающем режиме. Если администратор не предпринимает никаких мер, программа также продолжит работать в обучающем режиме. Отсчет срока действия обучающего режима начинается заново.

Настройка Адаптивного контроля аномалий происходит в режиме реального времени. Настройка Адаптивного контроля аномалий осуществляется по следующим каналам:

• Адаптивный контроль аномалий автоматически начинает блокировать действия, связанные с правилами, которые не сработали в течение обучающего режима.
• Kaspersky Endpoint Security добавляет новые правила или удаляет неактуальные.
• Администратор настраивает работу Адаптивного контроля аномалий после анализа отчета о срабатывании правил и содержимого хранилища Срабатывание правил в состоянии Интеллектуальное обучение. Рекомендуется проверять отчет о срабатывании правил и содержимое хранилища Срабатывание правил в состоянии Интеллектуальное обучение.

При попытке вредоносной программы выполнить действие, Kaspersky Endpoint Security заблокирует действие и покажет уведомление (см. рис. ниже).

Уведомление Адаптивного контроля аномалий

Алгоритм работы Адаптивного контроля аномалий

Kaspersky Endpoint Security принимает решение о выполнении действия, связанного с правилом, по следующему алгоритму (см. рис. ниже).

Алгоритм работы Адаптивного контроля аномалий

Включение и выключение Адаптивного контроля аномалий

По умолчанию Адаптивный контроль аномалий включен.

Чтобы включить или выключить Адаптивный контроль аномалий, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения в блоке Контроль безопасности и нажмите на плитку Адаптивный контроль аномалий.
3. Используйте переключатель Адаптивный контроль аномалий, чтобы включить или выключить компонент.
4. Сохраните внесенные изменения.

В результате Адаптивный контроль аномалий перейдет в обучающий режим. В ходе обучения Адаптивный контроль аномалий отслеживает срабатывание правил. После завершения обучения Адаптивный контроль аномалий блокирует действия, нехарактерные для компьютеров сети организации.

Если в вашей организации начали использовать новые инструменты для работы, и Адаптивный контроль аномалий блокирует действия этих инструментов, вы можете сбросить результаты работы обучающего режима и повторить обучение. Для этого вам нужно изменить действие при срабатывании правила (например, установите значение Информировать). Затем вам нужно заново включить обучающий режим (установите значение Интеллектуальное).

Включение и выключение правила Адаптивного контроля аномалий

Чтобы включить или выключить правило Адаптивного контроля аномалий, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Контроль безопасности → Адаптивный контроль аномалий.
3. В блоке Правила нажмите на кнопку Изменить правила.

   Откроется список правил Адаптивного контроля аномалий.

4. В таблице выберите набор правил (например, Активность офисных программ) и разверните набор.
5. Выберите правило (например, Запуск Windows PowerShell из офисных программ).
6. Используйте переключатель в графе Состояние, чтобы включить или выключить правило Адаптивного контроля аномалий.
7. Сохраните внесенные изменения.

Изменение действия при срабатывании правила Адаптивного контроля аномалий

Чтобы изменить действие при срабатывании правила Адаптивного контроля аномалий, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Контроль безопасности → Адаптивный контроль аномалий.
3. В блоке Правила нажмите на кнопку Изменить правила.

   Откроется список правил Адаптивного контроля аномалий.

4. В таблице выберите правило.
5. Нажмите на кнопку Изменить.

   Откроется окно свойств правила Адаптивного контроля аномалий.

6. В блоке Действие выберите один из следующих пунктов:
   • Интеллектуальное. Если выбран этот вариант, то правило Адаптивного контроля аномалий работает в обучающем режиме в течение периода, определенного специалистами "Лаборатории Касперского". В этом режиме при срабатывании правила Адаптивного контроля аномалий Kaspersky Endpoint Security разрешает активность, подпадающую под это правило, и создает запись в хранилище Срабатывание правил в состоянии Интеллектуальное обучение Сервера администрирования Kaspersky Security Center. По истечении периода работы обучающего режима Kaspersky Endpoint Security блокирует активность, подпадающую под правило Адаптивного контроля аномалий, и создает в журнале запись, содержащую информацию об этой активности.
   • Блокировать. Если выбрано это действие, то при срабатывании правила Адаптивного контроля аномалий Kaspersky Endpoint Security блокирует активность, подпадающую под это правило, и создает в журнале запись, содержащую информацию об этой активности.
   • Информировать. Если выбрано это действие, то при срабатывании правила Адаптивного контроля аномалий Kaspersky Endpoint Security разрешает активность, подпадающую под это правило, и создает в журнале запись, содержащую информацию об этой активности.
7. Сохраните внесенные изменения.

Создание исключения для правила Адаптивного контроля аномалий

Для правил Адаптивного контроля аномалий невозможно создать более 1000 исключений. Не рекомендуется создавать более 200 исключений. Чтобы уменьшить количество используемых исключений, рекомендуется использовать маски в параметрах исключений.

Исключение для правила Адаптивного контроля аномалий включает в себя описание исходных и целевых объектов. Исходный объект – объект, который выполняет действия. Целевой объект – объект, над которым выполняются действия. Например, вы открыли файл file.xlsx. В результате в память компьютера была добавлена библиотека с расширением dll, которую использует браузер (исполняемый файл browser.exe). В данном примере file.xlsx – исходный объект, Excel – исходный процесс, browser.exe – целевой объект, Browser – целевой процесс.

Чтобы создать исключение для правила Адаптивного контроля аномалий, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Контроль безопасности → Адаптивный контроль аномалий.
3. В блоке Правила нажмите на кнопку Изменить правила.

   Откроется список правил Адаптивного контроля аномалий.

4. В таблице выберите правило.
5. Нажмите на кнопку Изменить.

   Откроется окно свойств правила Адаптивного контроля аномалий.

6. В блоке Исключения нажмите на кнопку Добавить.

   Откроется окно свойств исключения.

7. Выберите пользователя, для которого вы хотите настроить исключение.

Адаптивный контроль аномалий не поддерживает исключения для групп пользователей. Если вы выберите группу пользователей, Kaspersky Endpoint Security не применит исключение.

8. В поле Описание введите описание исключения.
9. Задайте параметры исходного объекта или исходного процесса, запущенных объектом:
   • Исходный процесс. Путь или маска пути к файлу или папке с файлами (например, С:\Dir\File.exe или Dir\*.exe).
   • Хеш исходного процесса. Хеш файла.
   • Исходный объект. Путь или маска пути к файлу или папке с файлами (например, С:\Dir\File.exe или Dir\*.exe). Например, путь к файлу document.docm, который запускает целевые процессы с помощью скрипта или макроса.

     Вы также можете указать другие объекты для исключения, например, веб-адрес, макрос, команду в командной строке, путь реестра и другие. Укажите объект по следующему шаблону: object://<объект>, где <объект> – название объекта, например, object://web.site.example.com, object://VBA, object://ipconfig, object://HKEY_USERS. Вы также можете использовать маски, например, object://*C:\Windows\temp\*.

   • Хеш исходного объекта. Хеш файла.

   Правило Адаптивного контроля аномалий не распространяется на действия, выполняемые объектом, или на процессы, запущенные объектом.

10. Задайте параметры целевого объекта или целевых процессов, запущенных над объектом.
    • Целевой процесс. Путь или маска пути к файлу или папке с файлами (например, С:\Dir\File.exe или Dir\*.exe).
    • Хеш целевого процесса. Хеш файла.
    • Целевой объект. Команда запуска целевого процесса. Укажите команду по следующему шаблону object://<команда>, например, object://cmdline:powershell -Command "$result = 'C:\Windows\temp\result_local_users_pwdage.txt'". Также вы можете использовать маски, например, object://*C:\Windows\temp\*.
    • Хеш целевого объекта. Хеш файла.

    Правило Адаптивного контроля аномалий не распространяется на действия над объектом или на процессы, запущенные над объектом.

11. Сохраните внесенные изменения.

Экспорт и импорт исключений для правил Адаптивного контроля аномалий

Чтобы экспортировать или импортировать список исключений для выбранных правил, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Контроль безопасности → Адаптивный контроль аномалий.
3. В блоке Правила нажмите на кнопку Изменить правила.

   Откроется список правил Адаптивного контроля аномалий.

4. Для экспорта списка исключений выполните следующие действия:
   1. Выберите правила, исключения для которых вы хотите экспортировать.
   2. Нажмите на кнопку Экспорт.
   3. В открывшемся окне введите имя файла формата XML, в который вы хотите экспортировать список исключений, а также выберите папку, в которой вы хотите сохранить этот файл.
   4. Подтвердите, что вы хотите экспортировать только выбранные исключения, или экспортируйте весь список.
   5. Нажмите на кнопку Сохранить.
5. Для импорта списка исключений, выполните следующие действия:
   1. Нажмите на кнопку Импорт.
   2. В открывшемся окне выберите XML-файл, из которого вы хотите импортировать список исключений.
   3. Нажмите на кнопку Открыть.

      Если на компьютере уже есть список исключений, Kaspersky Endpoint Security предложит удалить действующий список или добавить в него новые записи из XML-файла.

6. Сохраните внесенные изменения.

Применение обновлений для правил Адаптивного контроля аномалий

Новые правила Адаптивного контроля аномалий могут быть добавлены в таблицу правил и существующие правила Адаптивного контроля аномалий могут быть удалены из таблицы правил по результату обновления антивирусных баз. Kaspersky Endpoint Security выделяет удаляемые и добавляемые правила Адаптивного контроля аномалий в таблице, если для этих правил обновление не было применено.

До тех пор, пока обновление не применено, Kaspersky Endpoint Security отображает удаленные в результате обновления правила Адаптивного контроля аномалий в таблице правил и присваивает этим правилам статус Выключено. Изменение параметров этих правил невозможно.

Чтобы применить обновления для правил Адаптивного контроля аномалий, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Контроль безопасности → Адаптивный контроль аномалий.
3. В блоке Правила нажмите на кнопку Изменить правила.

   Откроется список правил Адаптивного контроля аномалий.

4. В открывшемся окне нажмите на кнопку Подтвердить обновления.

   Кнопка Подтвердить обновления доступна, если доступно обновление для правил Адаптивного контроля аномалий.

5. Сохраните внесенные изменения.

Изменение шаблонов сообщений Адаптивного контроля аномалий

Когда пользователь пытается выполнить действие, запрещенное правилами Адаптивного контроля аномалий, Kaspersky Endpoint Security выводит сообщение о блокировке потенциально опасных действий. Если блокировка, по мнению пользователя, произошла ошибочно, по ссылке из текста сообщения о блокировке пользователь может отправить сообщение администратору локальной сети организации.

Для сообщения о блокировке потенциально опасных действий и сообщения администратору предусмотрены шаблоны. Вы можете изменять шаблоны сообщений.

Чтобы изменить шаблон сообщения, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Контроль безопасности → Адаптивный контроль аномалий.
3. В блоке Шаблоны настройте шаблоны сообщений Адаптивного контроля аномалий:
   • Сообщение о блокировке. Шаблон сообщения для пользователя, которое появляется при срабатывании правила Адаптивного контроля аномалий, блокирующего нехарактерное действие.
   • Сообщение администратору. Шаблон сообщения для отправки администратору локальной сети организации в случае, если блокировка действия, по мнению пользователя, произошла ошибочно. После запроса пользователя предоставить доступ Kaspersky Endpoint Security отправляет в Kaspersky Security Center событие Сообщение администратору о запрете действия приложения. Описание события содержит сообщение администратору с подставленными переменными. Вы можете посмотреть эти события в консоли Kaspersky Security Center с помощью предустановленной выборки Запросы пользователей. Если в вашей организации не развернуто решение Kaspersky Security Center или связь с Сервером администрирования отсутствует, приложение отправит сообщение администратору на указанный адрес электронной почты.
4. Сохраните внесенные изменения.

Просмотр отчетов Адаптивного контроля аномалий

Чтобы просмотреть отчеты Адаптивного контроля аномалий, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики.
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Контроль безопасности → Адаптивный контроль аномалий.

   В правой части окна отобразятся параметры компонента Адаптивный контроль аномалий.

6. Выполните одно из следующих действий:
   • Если вы хотите просмотреть отчет о параметрах правил Адаптивного контроля аномалий, нажмите на кнопку Отчет о состоянии правил Адаптивного контроля аномалий.
   • Если вы хотите просмотреть отчет о срабатываниях правил Адаптивного контроля аномалий, нажмите на кнопку Отчет о срабатываниях правил Адаптивного контроля аномалий.
7. Запустится процесс формирования отчета.

Отчет отобразится в новом окне.