Adaptive Kontrolle von Anomalien

Für Windows

Die Komponente "Adaptive Kontrolle von Anomalien" überwacht und blockiert Aktionen, die für Computer des Unternehmensnetzwerks untypisch sind. Die Adaptive Kontrolle von Anomalien verwendet eine Reihe von Regeln, um nicht typisches Verhalten zu verfolgen (z. B. die Start der Microsoft PowerShell durch eine Office-Anwendung). Die Regeln werden von Kaspersky-Spezialisten basierend auf typischen Szenarien bösartiger Aktivitäten erstellt. Sie können konfigurieren, wie die Adaptive Kontrolle von Anomalien jede Regel behandelt und beispielsweise die Ausführung von PowerShell-Skripten zulassen, wenn diese bestimmte Workflow-Aufgaben automatisieren. Kaspersky Endpoint Security aktualisiert den Regelsatz aus den Programm-Datenbanken.

Die Anpassung der "Adaptiven Kontrolle von Anomalien" umfasst folgende Schritte:

  1. Training der "Adaptiven Kontrolle von Anomalien".

    Nachdem die "Adaptive Kontrolle von Anomalien" aktiviert ist, funktionieren die Regeln im Lernmodus. Im Verlauf des Trainings überwacht die "Adaptive Kontrolle von Anomalien" das Auslösen von Regeln und sendet Auslöseereignisse an den Server. Jede Regel hat eine eigene Dauer für den Lernmodus. Die Dauer des Lernmodus wird von den Kaspersky-Experten vorgegeben. Gewöhnlich dauert der Lernmodus 2 Wochen.

    Wenn eine Regel während des Trainings nie ausgelöst wurde, betrachtet die "Adaptive Kontrolle von Anomalien" die mit dieser Regel verbundenen Aktionen als untypisch. Kaspersky Endpoint Security blockiert alle Aktionen, die mit dieser Regel zusammenhängen.

    Wenn die Regel während des Trainings ausgelöst wird, protokolliert Kaspersky Endpoint Security die Ereignisse im Bericht über ausgelöste Regeln und im Speicher der registrierten Erkennungen der Adaptiven Kontrolle von Anomalien.

  2. Analyse des Berichts über ausgelöste Regeln.

    Der Administrator analysiert den Bericht über ausgelöste Regeln oder den Speicher der registrierten Erkennungen der Adaptiven Kontrolle von Anomalien. Anschließend kann der Administrator das Verhalten der "Adaptiven Kontrolle von Anomalien" bei einer Auslösung der Regel festlegen: blockieren oder erlauben. Außerdem kann der Administrator die Regelauslösung weiterhin überwachen und die Dauer des Lernmodus für das Programm verlängern. Ergreift der Administrator keine Maßnahmen, so läuft das Programm ebenfalls im Lernmodus weiter. Die Dauer des Lernmodus beginnt von vorne.

Die "Adaptive Kontrolle von Anomalien" wird im Echtzeitmodus angepasst. Die "Adaptive Kontrolle von Anomalien" wird wie folgt angepasst:

Nach oben