Ten składnik jest dostępny, jeśli Kaspersky Endpoint Security jest zainstalowany na komputerze działającym pod kontrolą systemu Windows dla stacji roboczych. Ten składnik jest niedostępny, jeśli Kaspersky Endpoint Security jest zainstalowany na komputerze działającym pod kontrolą systemu Windows dla serwerów.
Komponent Adaptacyjna kontrola anomalii monitoruje i blokuje działania, które nie są typowe dla komputerów w sieci firmowej. Adaptacyjna kontrola anomalii wykorzystuje zestaw reguł do śledzenia nietypowych zachowań (na przykład reguła Uruchomienie procesora poleceń Microsoft Office z aplikacji biurowej). Reguły są tworzone przez specjalistów z Kaspersky w oparciu o typowe scenariusze złośliwej aktywności. Można skonfigurować, w jaki sposób Adaptacyjna kontrola aplikacji obsługuje każdą regułę i, na przykład, zezwolić na wykonywanie skryptów PowerShell, które automatyzują określone zadania przepływu pracy. Kaspersky Endpoint Security aktualizuje zestaw reguł wraz z bazami danych aplikacji. Aktualizacje zestawów reguł muszą być potwierdzone ręcznie.
Ustawienia komponentu Adaptacyjna kontrola anomalii
Konfiguracja Adaptacyjnej kontroli anomalii składa się z następujących kroków:
Po włączeniu Adaptacyjnej kontroli anomalii, jej reguły działają w trybie uczenia. Podczas uczenia moduł Adaptacyjna kontrola anomalii monitoruje wyzwalanie reguł i wysyła zdarzenia wyzwalające do Kaspersky Security Center. Każda reguła ma swój czas trwania trybu uczenia. Czas trwania trybu uczenia jest ustawiany przez ekspertów z Kaspersky. Zazwyczaj tryb uczenia jest aktywny przez dwa tygodnie.
Jeśli podczas treningu reguła nie została w ogóle uruchomiona, Adaptacyjna kontrola anomalii uzna działania związane z tą regułą za nietypowe. Kaspersky Endpoint Security zablokuje wszystkie działania związane z tą regułą.
Jeśli reguła została wyzwolona podczas treningu, Kaspersky Endpoint Security rejestruje zdarzenia w raporcie wyzwalającym regułę oraz w repozytorium Wywoływanie reguł w trybie Inteligentne uczenie się.
Administrator analizuje raport dotyczący wyzwalania reguły lub zawartość repozytorium Wywoływanie reguł w trybie Inteligentne uczenie się. Następnie administrator może wybrać zachowanie Adaptacyjnej kontroli anomalii, gdy reguła jest wyzwalana: albo zablokować, albo zezwolić. Administrator może również kontynuować monitorowanie działania reguły i wydłużyć czas trwania trybu uczenia. Jeśli administrator nie podejmie żadnych działań, aplikacja będzie również kontynuować pracę w trybie uczenia. Czas trwania trybu uczenia zostanie zrestartowany.
Adaptacyjna kontrola anomalii jest konfigurowana w czasie rzeczywistym. Adaptacyjna kontrola anomalii jest konfigurowana poprzez następujące kanały:
Jeśli złośliwa aplikacja spróbuje wykonać akcję, Kaspersky Endpoint Security zablokuje tę akcję i wyświetli powiadomienie (patrz rysunek poniżej).
Powiadomienie Adaptacyjnej kontroli anomalii
Algorytm działania Adaptacyjnej kontoli anomalii
Kaspersky Endpoint Security decyduje, czy zezwolić na lub zablokować działanie skojarzone z regułą opartą o następujący algorytm (patrz rysunek poniżej).
Algorytm działania Adaptacyjnej kontoli anomalii
Ustawienia komponentu Adaptacyjna kontrola anomalii
Parametr |
Opis |
---|---|
Raport o stanie reguł Adaptacyjnej kontroli anomalii (dostępny tylko w Kaspersky Security Center Console) |
Ten raport zawiera informacje o stanie reguł wykrywania komponentu Adaptacyjna kontrola anomalii (na przykład: Wyłączono lub Zablokuj). Raport jest generowany dla wszystkich grup administracyjnych. |
Raport o wywołanych regułach Adaptacyjnej kontroli anomalii (dostępny tylko w Kaspersky Security Center Console) |
Ten raport zawiera informacje o nietypowych działaniach wykrytych przy użyciu komponentu Adaptacyjna kontrola anomalii. Raport jest generowany dla wszystkich grup administracyjnych. |
Reguły |
Tabela reguł komponentu Adaptacyjna kontrola anomalii. Reguły są tworzone przez specjalistów z Kaspersky w oparciu o typowe scenariusze potencjalnie złośliwej aktywności. |
Szablony |
Wiadomość dotycząca blokowania. Szablon komunikatu, który jest wyświetlany użytkownikowi po wyzwoleniu reguły komponentu Adaptacyjna kontrola anomalii, która blokuje nietypowe działanie. Wiadomość do administratora. Szablon wiadomości dla użytkownika, która może zostać wysłana do lokalnego administratora sieci korporacyjnej, jeśli użytkownik uzna, że zablokowanie jest pomyłką. Gdy użytkownik zażąda dostępu, Kaspersky Endpoint Security wyśle zdarzenie do Kaspersky Security Center: Wiadomość do administratora dotycząca zablokowania aktywności aplikacji. Opis zdarzenia zawiera wiadomość do administratora z podstawionymi zmiennymi. Możesz przeglądać te zdarzenia w konsoli Kaspersky Security Center przy użyciu wstępnie zdefiniowanego wyboru zdarzeń Żądania użytkownika. Jeśli Twoja organizacja nie ma wdrożyła Kaspersky Security Center lub nie ma połączenia z Serwerem administracyjnym, aplikacja wyśle wiadomość do administratora na podany adres e-mail. |