训练“自适应异常控制”
自适应异常控制包括一组规则(行为模式)。启用“自适应异常控制”后,其规则在训练模式下工作。在训练期间,“自适应异常控制”监控规则触发并将触发事件发送到 Kaspersky Security Center。自适应异常控制不会阻止计算机上的应用程序活动,而只会通知管理员。您也可以手动选择触发自适应异常控制规则时执行的操作。
如何在管理控制台 (MMC) 中查看自适应异常控制规则列表
- 打开 Kaspersky Security Center Administration Console。
- 在控制台树中,选择“策略”。
- 选择必要的策略并双击以打开策略属性。
- 在策略窗口中,选择 安全控制 → 自适应异常控制。
- 选择自适应异常控制复选框。
- 在“自适应异常控制规则设置”下,查看规则列表。
默认情况下,所有规则都工作在“智能”模式。
- 如有必要,确认自适应异常控制规则的更新。
- 如有必要,选择在自适应异常控制规则触发时执行的操作:
- “阻止”。如果选择此操作,当触发自适应异常控制规则时,Kaspersky Endpoint Security 将阻止规则覆盖的活动,并记录包含活动信息的条目。
- “通知”。如果选择此操作,当触发自适应异常控制规则时,Kaspersky Endpoint Security 将允许规则覆盖的活动,并记录包含活动信息的条目。
- 如果有必要,请禁用您不想使用的规则。
- 保存更改。要在计算机上应用该策略,请关闭“挂锁”
。
如何在 Web Console 和云控制台中查看自适应异常控制规则
- 在 Web Console 的主窗口中,选择“资产(设备)” → “策略和配置文件”选项卡。
- 单击 Kaspersky Endpoint Security 策略的名称。
策略属性窗口将打开。
- 选择应用程序设置选项卡。
- 选择 安全控制 → 自适应异常控制。
- 开启 自适应异常控制 切换开关。
- 在“规则”区域,单击“规则”链接。
“自适应异常控制规则”列表将打开。默认情况下,所有规则都工作在“智能”模式。
- 如有必要,确认自适应异常控制规则的更新。
- 如有必要,选择在自适应异常控制规则触发时执行的操作:
- “阻止”。如果选择此操作,当触发自适应异常控制规则时,Kaspersky Endpoint Security 将阻止规则覆盖的活动,并记录包含活动信息的条目。
- “通知”。如果选择此操作,当触发自适应异常控制规则时,Kaspersky Endpoint Security 将允许规则覆盖的活动,并记录包含活动信息的条目。
- 如果有必要,请禁用您不想使用的规则。
- 保存更改。要在计算机上应用该策略,请关闭“挂锁”
。
如何在应用程序界面中查看自适应异常控制规则列表
- 打开主应用程序窗口并单击
按钮。 - 在应用程序设置窗口中,选择“安全控制” → “自适应异常控制”。
- 开启 自适应异常控制 切换开关。
- 在“规则”区域,单击“编辑规则”链接。
“自适应异常控制规则”列表将打开。默认情况下,所有规则都工作在“智能”模式。
- 如有必要,确认自适应异常控制规则的更新。
- 如有必要,选择在自适应异常控制规则触发时执行的操作:
- “阻止”。如果选择此操作,当触发自适应异常控制规则时,Kaspersky Endpoint Security 将阻止规则覆盖的活动,并记录包含活动信息的条目。
- “通知”。如果选择此操作,当触发自适应异常控制规则时,Kaspersky Endpoint Security 将允许规则覆盖的活动,并记录包含活动信息的条目。
- 如果有必要,请禁用您不想使用的规则。
- 保存更改。
每条规则都有自己的训练模式持续时间。训练模式持续时间由 Kaspersky 专家设置。通常,训练模式保持活动两周。
如果在培训过程中,某条规则从未触发,自适应异常控制会认为这种行为不正常,并将规则状态更改为“智能阻止”。随后,应用程序会阻止任何符合该规则的活动。
如果在培训期间触发规则,则需要手动配置应用程序对与该规则匹配的检测到的活动所应用的操作。如果您未选择规则触发时的操作,自适应异常控制将继续处于培训模式。
页面顶部