Adaptive Kontrolle von Anomalien

Für Windows

Die Komponente "Adaptive Kontrolle von Anomalien" überwacht und blockiert Aktionen, die für Computer des Unternehmensnetzwerks untypisch sind. Die Adaptive Kontrolle von Anomalien verwendet eine Reihe von Regeln, um nicht typisches Verhalten zu verfolgen (z. B. die Start der Microsoft PowerShell durch eine Office-Anwendung). Die Regeln werden von Kaspersky-Spezialisten basierend auf typischen Szenarien bösartiger Aktivitäten erstellt. Sie können konfigurieren, wie die Adaptive Kontrolle von Anomalien jede Regel behandelt und beispielsweise die Ausführung von PowerShell-Skripten zulassen, wenn diese bestimmte Workflow-Aufgaben automatisieren. Kaspersky Endpoint Security aktualisiert den Regelsatz aus den Programm-Datenbanken.

Die Anpassung der "Adaptiven Kontrolle von Anomalien" umfasst folgende Schritte:

Training der "Adaptiven Kontrolle von Anomalien".
Nachdem die "Adaptive Kontrolle von Anomalien" aktiviert ist, funktionieren die Regeln im Lernmodus. Im Verlauf des Trainings überwacht die "Adaptive Kontrolle von Anomalien" das Auslösen von Regeln und sendet Auslöseereignisse an den Server. Jede Regel hat eine eigene Dauer für den Lernmodus. Die Dauer des Lernmodus wird von den Kaspersky-Experten vorgegeben. Gewöhnlich dauert der Lernmodus 2 Wochen.

Wenn eine Regel während des Trainings nie ausgelöst wurde, betrachtet die "Adaptive Kontrolle von Anomalien" die mit dieser Regel verbundenen Aktionen als untypisch. Kaspersky Endpoint Security blockiert alle Aktionen, die mit dieser Regel zusammenhängen.

Wenn die Regel während des Trainings ausgelöst wird, protokolliert Kaspersky Endpoint Security die Ereignisse im Bericht über ausgelöste Regeln und im Speicher der registrierten Erkennungen der Adaptiven Kontrolle von Anomalien.
Analyse des Berichts über ausgelöste Regeln.
Der Administrator analysiert den Bericht über ausgelöste Regeln oder den Speicher der registrierten Erkennungen der Adaptiven Kontrolle von Anomalien. Anschließend kann der Administrator das Verhalten der "Adaptiven Kontrolle von Anomalien" bei einer Auslösung der Regel festlegen: blockieren oder erlauben. Außerdem kann der Administrator die Regelauslösung weiterhin überwachen und die Dauer des Lernmodus für das Programm verlängern. Ergreift der Administrator keine Maßnahmen, so läuft das Programm ebenfalls im Lernmodus weiter. Die Dauer des Lernmodus beginnt von vorne.

Die "Adaptive Kontrolle von Anomalien" wird im Echtzeitmodus angepasst. Die "Adaptive Kontrolle von Anomalien" wird wie folgt angepasst:

Die "Adaptive Kontrolle von Anomalien" beginnt automatisch, jene Aktionen zu blockieren, die mit Regeln zusammenhängen, die im Lernmodus nicht ausgelöst wurden.
Kaspersky Endpoint Security fügt neue Regeln hinzu oder löscht veraltete Regeln.

Der Administrator konfiguriert die Adaptive Kontrolle von Anomalien nach der Analyse des Berichts über ausgelöste Regeln und des Speichers der registrierten Erkennungen der Adaptiven Kontrolle von Anomalien. Es wird empfohlen, sich den Bericht über ausgelöste Regeln und den Inhalt des Speichers der registrierten Erkennungen der Adaptiven Kontrolle von Anomalien anzusehen.

Einstellungen der Adaptiven Kontrolle von Anomalien in der Pro View

Parameter	Betriebssystem	Beschreibung
Bericht anzeigen → Status der Regel	`Windows`	Dieser Bericht enthält Informationen zum Status der Erkennungsregeln der Adaptiven Kontrolle von Anomalien (z. B. Deaktiviert oder Blockieren). Der Bericht wird für alle Administrationsgruppen erstellt.
Bericht anzeigen → Erkennungen	`Windows`	Dieser Bericht enthält Informationen über untypische Aktionen, die mithilfe der "Adaptiven Kontrolle von Anomalien" erkannt wurden. Der Bericht wird für alle Administrationsgruppen erstellt.
Regeln	`Windows`	Tabelle der Regeln der "Adaptiven Kontrolle von Anomalien". Die Regeln wurden von den Kaspersky-Spezialisten auf Basis typischer Szenarien für potentiell schädliche Aktivitäten erstellt. Die Regeln der Adaptiven Kontrolle von Anomalien befinden sich einem der folgenden Modi: Informieren. Die Anwendung erlaubt die von der Regel abgedeckte Aktivität und protokolliert einen entsprechenden Eintrag. Blockieren. Die Anwendung blockiert die von der Regel abgedeckte Aktivität und protokolliert einen entsprechenden Eintrag. Intelligent. Die Regel befindet sich für einen von Kaspersky-Experten festgelegten Zeitraum im Smart-Training-Status. Wenn die Regel in diesem Modus ausgelöst wird, lässt die Anwendung die von der Regel abgedeckte Aktivität zu und protokolliert einen Eintrag im Speicher der registrierten Erkennungen der Adaptiven Kontrolle von Anomalien. Nach Abschluss des Trainings werden abhängig von den Trainingsergebnissen weitere Aktionen zugelassen oder blockiert. Sie können für die Regeln der Adaptiven Kontrolle von Anomalien Ausnahmen definieren. Eine Ausnahme für eine Regel der "Adaptiven Kontrolle von Anomalien" enthält eine Beschreibung der Quell- und Zielobjekte. Quellobjekt – Objekt, das Aktionen ausführt. Zielobjekt – Objekt, mit dem Aktionen ausgeführt werden. Beispiel: Sie haben die Datei `file.xlsx` geöffnet. Als Ergebnis wird eine Bibliotheksdatei mit der DLL-Erweiterung in den Computerspeicher geladen. Diese Bibliothek wird von einem Browser verwendet (ausführbare Datei namens `browser.exe`). In diesem Beispiel ist `file.xlsx` das Quellobjekt, Excel der Quellprozess, `browser.exe` das Zielobjekt, und der Browser der Zielprozess.

Parameter

Betriebssystem

Beschreibung

Bericht anzeigen → Status der Regel

Windows

Dieser Bericht enthält Informationen zum Status der Erkennungsregeln der Adaptiven Kontrolle von Anomalien (z. B. Deaktiviert oder Blockieren). Der Bericht wird für alle Administrationsgruppen erstellt.

Bericht anzeigen → Erkennungen

Windows

Dieser Bericht enthält Informationen über untypische Aktionen, die mithilfe der "Adaptiven Kontrolle von Anomalien" erkannt wurden. Der Bericht wird für alle Administrationsgruppen erstellt.

Regeln

Windows

Tabelle der Regeln der "Adaptiven Kontrolle von Anomalien". Die Regeln wurden von den Kaspersky-Spezialisten auf Basis typischer Szenarien für potentiell schädliche Aktivitäten erstellt.

Die Regeln der Adaptiven Kontrolle von Anomalien befinden sich einem der folgenden Modi:

Informieren.
Die Anwendung erlaubt die von der Regel abgedeckte Aktivität und protokolliert einen entsprechenden Eintrag.
Blockieren.
Die Anwendung blockiert die von der Regel abgedeckte Aktivität und protokolliert einen entsprechenden Eintrag.
Intelligent.
Die Regel befindet sich für einen von Kaspersky-Experten festgelegten Zeitraum im Smart-Training-Status. Wenn die Regel in diesem Modus ausgelöst wird, lässt die Anwendung die von der Regel abgedeckte Aktivität zu und protokolliert einen Eintrag im Speicher der registrierten Erkennungen der Adaptiven Kontrolle von Anomalien. Nach Abschluss des Trainings werden abhängig von den Trainingsergebnissen weitere Aktionen zugelassen oder blockiert.

Sie können für die Regeln der Adaptiven Kontrolle von Anomalien Ausnahmen definieren. Eine Ausnahme für eine Regel der "Adaptiven Kontrolle von Anomalien" enthält eine Beschreibung der Quell- und Zielobjekte. Quellobjekt – Objekt, das Aktionen ausführt. Zielobjekt – Objekt, mit dem Aktionen ausgeführt werden. Beispiel: Sie haben die Datei file.xlsx geöffnet. Als Ergebnis wird eine Bibliotheksdatei mit der DLL-Erweiterung in den Computerspeicher geladen. Diese Bibliothek wird von einem Browser verwendet (ausführbare Datei namens browser.exe). In diesem Beispiel ist file.xlsx das Quellobjekt, Excel der Quellprozess, browser.exe das Zielobjekt, und der Browser der Zielprozess.

Nach oben