Uyarlamalı Anomali Denetimi
Bu bileşen, İş istasyonları için Windows’un kurulu olduğu bir bilgisayara Kaspersky Endpoint Security yüklendiğinde kullanılabilir. Bu bileşen, sunucular için Windows’un kurulu olduğu bir bilgisayara Kaspersky Endpoint Security yüklendiğinde kullanılamaz.
Uyarlamalı Anomali Denetimi bileşeni, şirketin ağındaki bilgisayarlarda tipik olarak görülmeyen eylemleri izler ve engeller. Uyarlamalı Anomali Denetimi, tipik olmayan davranışı izlemek için kurallar dizisi kullanır (örneğin, Microsoft PowerShell'in Office uygulamasından başlatılması kuralı). Kurallar, Kaspersky uzmanları tarafından zararlı etkinliğin tipik senaryolarına dayanarak oluşturulur. Uyarlamalı Anomali Denetiminin her bir kuralı nasıl ele aldığını yapılandırabilirsiniz (örneğin, belirli iş akışı görevlerini otomatikleştiren PowerShell komut dizilerinin yürütülmesine izin vermek). Kaspersky Endpoint Security, uygulama veritabanlarıyla birlikte kurallar dizisini de günceller. Kurallar dizisinde yapılan güncellemeler elle onaylanmalıdır.
Uyarlamalı Anomali Denetimi ayarları
Uyarlamalı anomali denetimini yapılandırma işlemi şu adımlardan oluşur:
- Uyarlamalı Anomali Denetimi eğitimi.
Uyarlamalı Anomali Denetimini etkinleştirmenizin ardından kurallar eğitim modunda çalışır. Eğitim sırasında Uyarlamalı Anomali Denetimi, kural tetiklemeyi izler ve tetikleme etkinliklerini Kaspersky Security Center'a gönderir. Her kuralın kendi eğitim modu süresi vardır. Eğitim modunun süresi Kaspersky uzmanları tarafından belirlenir. Normalde eğitim modu iki hafta boyunca etkindir.
Bir kural eğitim boyunca hiç tetiklenmezse Uyarlamalı Anomali Denetimi bu kuralla ilgili eylemleri tipik değil olarak ele alır. Kaspersky Endpoint Security bu kuralla ilgili tüm eylemleri engeller.
Eğitim sırasında bir kural tetiklendiyse Kaspersky Endpoint Security, etkinlikleri kural tetikleme raporunda ve Akıllı Eğitim durumunda kuralları tetikleme veri havuzunda günlüğe kaydeder.
- Kural tetikleme raporunu analiz etme.
Yönetici, kural tetikleme raporunu veya Akıllı Eğitim durumunda kuralları tetikleme veri havuzunun içeriğini analiz eder. Ardından yönetici, kural tetiklendiğinde Uyarlamalı Anomali Denetiminin davranışını seçebilir: engelleme veya izin verme. Yönetici ayrıca kuralın nasıl çalıştığını izlemeye devam edebilir ve eğitim modunun süresini uzatabilir. Yönetici hiçbir eylemde bulunmazsa uygulama da eğitim modunda çalışmaya devam eder. Eğitim modu süresi yeniden başlatılır.
Uyarlamalı Anomali Denetimi gerçek zamanlı olarak yapılandırılır. Uyarlamalı Anomali Denetimi şu kanallar üzerinden yapılandırılır:
- Uyarlamalı Anomali Denetimi, eğitim modunda hiç tetiklenmeyen kurallarla ilgili eylemleri otomatik olarak engellemeye başlar.
- Kaspersky Endpoint Security yeni kurallar ekler veya kullanılmayan kuralları kaldırır.
- Yönetici, kural tetikleme raporunu ve Akıllı Eğitim durumunda kuralları tetikleme veri havuzunun içeriğini gözden geçirdikten sonra Uyarlamalı Anomali Denetiminin çalışmasını yapılandırır. Kural tetikleme raporunun ve Akıllı Eğitim durumunda kuralları tetikleme veri havuzunun içeriğinin kontrol edilmesi önerilir.
Zararlı bir uygulama eylemde bulunmaya çalıştığında Kaspersky Endpoint Security, eylemi engeller ve bir bildirim gösterir (aşağıdaki resme bakın).
Uyarlamalı Anomali Denetimi bildirimi
Uyarlamalı Anomali Denetimi çalışma algoritması
Kaspersky Endpoint Security, bir kuralla ilgili eyleme izin verilip verilmeyeceğini aşağıdaki algoritmaya (aşağıdaki resme bakın) göre belirler.
Uyarlamalı Anomali Denetimi çalışma algoritması
Uyarlamalı Anomali Denetimi bileşeni ayarları
Parametre |
Açıklama |
|---|---|
Uyarlamalı Anomali Denetimi kurallarının durumu hakkında rapor (sadece Kaspersky Security Center Konsolunda mevcuttur) |
Bu rapor Uyarlamalı Anomali Denetimi algılama kurallarının durumu hakkında bilgiler içerir (örneğin, Devre dışı bırakıldı veya Engelle). Rapor, tüm yönetim grupları için oluşturulur. |
Tetiklenen Uyarlamalı Anomali Denetimi kuralları hakkında rapor (sadece Kaspersky Security Center Konsolunda mevcuttur) |
Bu rapor, Uyarlamalı Anomali Denetimi kullanılarak tespit edilen tipik olmayan eylemler hakkında bilgiler içerir. Rapor, tüm yönetim grupları için oluşturulur. |
Kurallar |
Uyarlamalı Anomali Denetimi kuralları tablosu. Kurallar, potansiyel olarak zararlı etkinliğin tipik senaryolarına dayanarak Kaspersky uzmanları tarafından oluşturulur. |
Şablonlar |
Engelleme hakkında mesaj. Tipik olmayan bir eylemi engelleyen bir Uyarlamalı Anomali Denetimi kuralı tetiklendiğinde kullanıcıya gösterilecek mesajın şablonu. Yöneticiye mesaj. Kullanıcı, engelleme işleminin bir hata olduğunu düşünüyorsa yerel kurumsal ağ yöneticisine gönderebileceği mesaj şablonu. Kullanıcı erişim sağlama talebinde bulunduktan sonra Kaspersky Endpoint Security, Kaspersky Security Center'a bir olay gönderir: Yönetici için uygulama etkinliği engelleme mesajı. Olay açıklaması, değiştirilen değişkenlerle birlikte yöneticiye bir mesaj içerir. Bu olayları Kaspersky Security Center konsolunda, önceden tanımlanmış olay seçimi Kullanıcı isteklerini kullanarak görüntüleyebilirsiniz. Kuruluşunuzda Kaspersky Security Center dağıtılmamışsa veya Yönetim Sunucusuna bağlantı yoksa, uygulama belirtilen e-posta adresine yöneticiye bir mesaj gönderir. |