监控自适应异常控制操作
自适应异常控制包括几种监控工具。监控自适应异常控制的主要目的是在培训时配置组件。
自适应异常控制报告
自适应异常控制使用以下报告:
- “有关自适应异常控制规则状态的报告”。该报告包含有关自适应异常控制规则状态的信息(关闭、智能培训、智能阻止、通知、阻止)。该报告允许分析自适应异常控制的培训水平,并评估从“智能培训”模式切换至正常运行模式(例如,智能阻止)的规则数量。
- “有关触发的自适应异常控制规则的报告”。该报告包含有关规则触发的信息。报告还展示了规则触发模式:阻止(包括“智能阻止”)或“通知”。该报告可以评估用户计算机上自适应异常控制的活动。
如何在管理控制台 (MMC) 中查看自适应异常控制报告
- 打开 Kaspersky Security Center Administration Console。
- 在控制台树中,选择“策略”。
- 选择必要的策略并双击以打开策略属性。
- 在策略窗口中,选择 安全控制 → 自适应异常控制。
- 执行下列操作之一:
- 如果您想查看有关自适应异常控制规则状态的报告,请单击“有关自适应异常控制规则状态的报告”链接。
- 如果您想查看有关触发的自适应异常控制规则的报告,请单击“有关触发的自适应异常控制规则的报告”链接。
- 报告生成过程将开始。
该报告将显示在新窗口中。
如何在 Web Console 中查看自适应异常控制报告
- 在 Web Console 的主窗口中,选择“资产(设备)” → “策略和配置文件”。
- 单击 Kaspersky Endpoint Security 策略的名称。
策略属性窗口将打开。
- 选择应用程序设置选项卡。
- 选择 安全控制 → 自适应异常控制。
- 执行下列操作之一:
- 如果您想查看有关自适应异常控制规则状态的报告,请单击“有关自适应异常控制规则状态的报告”链接。
- 如果您想查看有关触发的自适应异常控制规则的报告,请单击“有关触发的自适应异常控制规则的报告”链接。
- 报告生成过程将开始。
该报告将显示在新窗口中。
要在 Kaspersky Security Center 控制台中生成报告,您必须启用到管理服务器的数据传输。默认情况下启用数据传输。
如何在管理控制台 (MMC) 中启用自适应异常控制的数据传输
- 打开 Kaspersky Security Center Administration Console。
- 在控制台树中,选择“策略”。
- 选择必要的策略并双击以打开策略属性。
- 在策略窗口中,选择 常规设置 → 报告和存储。
- 在“到管理服务器的数据传输”块中单击“设置”按钮。
- 勾选以下复选框:
- “有关自适应异常控制规则状态的报告”。
- “有关触发的自适应异常控制规则的报告”。
- 保存更改。
如何在 Web Console 中启用自适应异常控制的数据传输
- 在 Web Console 的主窗口中,选择“资产(设备)” → “策略和配置文件”。
- 单击 Kaspersky Endpoint Security 策略的名称。
策略属性窗口将打开。
- 选择应用程序设置选项卡。
- 选择 常规设置 → 报告和存储。
- 在“到管理服务器的数据传输”下,选择以下复选框:
- “有关自适应异常控制规则状态的报告”。
- “有关触发的自适应异常控制规则的报告”。
- 保存更改。
“智能培训状态下的规则触发器”存储
在培训模式下,自适应异常控制将有关触发规则的信息发送到单独的存储,智能培训状态下的规则触发器。有关触发规则的信息在存储中以事件列表的形式表示。要调整自适应异常控制,您可以确认计算机上的异常行为,或者添加规则排除项。
“自适应异常控制”事件
自适应异常控制记录在“阻止”(包括“智能阻止”)和“通知”模式下的规则触发事件。为此目的提供了以下事件:
进程操作已阻止
进程操作已跳过
事件包含有关可疑活动的信息,包括文件校验和、涉及的用户、规则触发时间和计算机名称。分析事件后,如果您发现该活动合法,则可以立即从规则中添加排除项。
页面顶部