Für Windows
Die Komponente "Adaptive Kontrolle von Anomalien" überwacht und blockiert Aktionen, die für Computer des Unternehmensnetzwerks untypisch sind. Die Adaptive Kontrolle von Anomalien verwendet eine Reihe von Regeln, um nicht typisches Verhalten zu verfolgen (z. B. die Start der Microsoft PowerShell durch eine Office-Anwendung). Die Regeln werden von Kaspersky-Spezialisten basierend auf typischen Szenarien bösartiger Aktivitäten erstellt. Sie können konfigurieren, wie die Adaptive Kontrolle von Anomalien jede Regel behandelt und beispielsweise die Ausführung von PowerShell-Skripten zulassen, wenn diese bestimmte Workflow-Aufgaben automatisieren. Kaspersky Endpoint Security aktualisiert den Regelsatz aus den Programm-Datenbanken.
Die Anpassung der "Adaptiven Kontrolle von Anomalien" umfasst folgende Schritte:
Nachdem die "Adaptive Kontrolle von Anomalien" aktiviert ist, funktionieren die Regeln im Lernmodus. Im Verlauf des Trainings überwacht die "Adaptive Kontrolle von Anomalien" das Auslösen von Regeln und sendet Auslöseereignisse an den Server. Jede Regel hat eine eigene Dauer für den Lernmodus. Die Dauer des Lernmodus wird von den Kaspersky-Experten vorgegeben. Gewöhnlich dauert der Lernmodus 2 Wochen.
Wenn eine Regel während des Trainings nie ausgelöst wurde, betrachtet die "Adaptive Kontrolle von Anomalien" die mit dieser Regel verbundenen Aktionen als untypisch. Kaspersky Endpoint Security blockiert alle Aktionen, die mit dieser Regel zusammenhängen.
Wenn die Regel während des Trainings ausgelöst wird, protokolliert Kaspersky Endpoint Security die Ereignisse im Bericht über ausgelöste Regeln und im Speicher der registrierten Erkennungen der Adaptiven Kontrolle von Anomalien.
Der Administrator analysiert den Bericht über ausgelöste Regeln oder den Speicher der registrierten Erkennungen der Adaptiven Kontrolle von Anomalien. Anschließend kann der Administrator das Verhalten der "Adaptiven Kontrolle von Anomalien" bei einer Auslösung der Regel festlegen: blockieren oder erlauben. Außerdem kann der Administrator die Regelauslösung weiterhin überwachen und die Dauer des Lernmodus für das Programm verlängern. Ergreift der Administrator keine Maßnahmen, so läuft das Programm ebenfalls im Lernmodus weiter. Die Dauer des Lernmodus beginnt von vorne.
Die "Adaptive Kontrolle von Anomalien" wird im Echtzeitmodus angepasst. Die "Adaptive Kontrolle von Anomalien" wird wie folgt angepasst:
Einstellungen der Adaptiven Kontrolle von Anomalien in der Pro View
Parameter |
Betriebssystem |
Beschreibung |
---|---|---|
Bericht anzeigen → Status der Regel |
|
Dieser Bericht enthält Informationen zum Status der Erkennungsregeln der Adaptiven Kontrolle von Anomalien (z. B. Deaktiviert oder Blockieren). Der Bericht wird für alle Administrationsgruppen erstellt. |
Bericht anzeigen → Erkennungen |
|
Dieser Bericht enthält Informationen über untypische Aktionen, die mithilfe der "Adaptiven Kontrolle von Anomalien" erkannt wurden. Der Bericht wird für alle Administrationsgruppen erstellt. |
Regeln |
|
Tabelle der Regeln der "Adaptiven Kontrolle von Anomalien". Die Regeln wurden von den Kaspersky-Spezialisten auf Basis typischer Szenarien für potentiell schädliche Aktivitäten erstellt. Die Regeln der Adaptiven Kontrolle von Anomalien befinden sich einem der folgenden Modi:
Sie können für die Regeln der Adaptiven Kontrolle von Anomalien Ausnahmen definieren. Eine Ausnahme für eine Regel der "Adaptiven Kontrolle von Anomalien" enthält eine Beschreibung der Quell- und Zielobjekte. Quellobjekt – Objekt, das Aktionen ausführt. Zielobjekt – Objekt, mit dem Aktionen ausgeführt werden. Beispiel: Sie haben die Datei |