Adaptacyjna kontrola anomalii

dla systemu Windows

Komponent Adaptacyjna kontrola anomalii monitoruje i blokuje działania, które nie są typowe dla komputerów w sieci firmowej. Adaptacyjna kontrola anomalii wykorzystuje zestaw reguł do śledzenia nietypowych zachowań (na przykład reguła Uruchomienie usługi Microsoft PowerShell przez aplikację Office). Reguły są tworzone przez specjalistów z Kaspersky w oparciu o typowe scenariusze złośliwej aktywności. Można skonfigurować, w jaki sposób Adaptacyjna kontrola aplikacji obsługuje każdą regułę i, na przykład, zezwolić na wykonywanie skryptów PowerShell, które automatyzują określone zadania przepływu pracy. Kaspersky Endpoint Security aktualizuje zestaw reguł wraz z bazami danych aplikacji.

Konfiguracja Adaptacyjnej kontroli anomalii składa się z następujących kroków:

Uczenie modułu Adaptacyjna kontrola anomalii.
Po włączeniu Adaptacyjnej kontroli anomalii, jej reguły działają w trybie uczenia. Podczas uczenia moduł Adaptacyjna kontrola anomalii monitoruje wyzwalanie reguł i wysyła zdarzenia wyzwalające na serwer. Każda reguła ma swój czas trwania trybu uczenia. Czas trwania trybu uczenia jest ustawiany przez ekspertów z Kaspersky. Zazwyczaj tryb uczenia jest aktywny przez dwa tygodnie.

Jeśli podczas treningu reguła nie została w ogóle uruchomiona, Adaptacyjna kontrola anomalii uzna działania związane z tą regułą za nietypowe. Kaspersky Endpoint Security zablokuje wszystkie działania związane z tą regułą.

Jeśli reguła zostanie wyzwolona w trakcie uczenia, Kaspersky Endpoint Security rejestruje zdarzenia w raporcie wyzwalania reguły oraz w magazynie wykrywania Adaptacyjnej kontroli anomalii.
Analizowanie raportu dotyczącego wyzwalania reguły.
Administrator analizuje raport wyzwalający regułę lub zawartość magazynu wykrywania Adaptacyjnej kontroli anomalii. Następnie administrator może wybrać zachowanie Adaptacyjnej kontroli anomalii, gdy reguła jest wyzwalana: albo zablokować, albo zezwolić. Administrator może również kontynuować monitorowanie działania reguły i wydłużyć czas trwania trybu uczenia. Jeśli administrator nie podejmie żadnych działań, aplikacja będzie również kontynuować pracę w trybie uczenia. Czas trwania trybu uczenia zostanie zrestartowany.

Adaptacyjna kontrola anomalii jest konfigurowana w czasie rzeczywistym. Adaptacyjna kontrola anomalii jest konfigurowana poprzez następujące kanały:

Adaptacyjna kontrola anomalii automatycznie rozpoczyna blokowanie działań związanych z regułami, które nigdy nie zostały wyzwolone w trybie uczenia.
Kaspersky Endpoint Security dodaje nowe reguły lub usuwa przestarzałe.

Administrator konfiguruje funkcję Adaptacyjnej kontroli anomalii po przeanalizowaniu raportu wyzwalającego regułę i zawartości magazynu danych wykrywania funkcji Adaptacyjnej kontroli anomalii. Zalecamy zapoznanie się z raportem wyzwalania reguł i zawartością magazynu wykrywania Adaptacyjnej kontroli anomalii.

Ustawienia Adaptacyjnej kontroli anomalii dla Pro View

Parametr	System operacyjny	Opis
Pokaż raport → Stan reguł	`Windows`	Ten raport zawiera informacje o stanie reguł wykrywania komponentu Adaptacyjna kontrola anomalii (na przykład: Wyłączono lub Zablokuj). Raport jest generowany dla wszystkich grup administracyjnych.
Pokaż raport → Wykrycia	`Windows`	Ten raport zawiera informacje o nietypowych działaniach wykrytych przy użyciu komponentu Adaptacyjna kontrola anomalii. Raport jest generowany dla wszystkich grup administracyjnych.
Reguły	`Windows`	Tabela reguł komponentu Adaptacyjna kontrola anomalii. Reguły są tworzone przez specjalistów z Kaspersky w oparciu o typowe scenariusze złośliwej aktywności. Reguły Adaptacyjnej kontroli anomalii mogą działać w jednym z następujących trybów: Powiadom. Aplikacja zezwala na aktywność objętą regułą i rejestruje odpowiedni wpis. Zablokuj. Aplikacja blokuje aktywność objętą regułą i rejestruje odpowiedni wpis. Inteligentny. Reguła działa w stanie inteligentnego uczenia przez okres zdefiniowany przez ekspertów Kaspersky. W tym trybie, po wyzwoleniu reguły, aplikacja zezwala na aktywność objętą regułą i rejestruje wpis w magazynie detekcji Adaptacyjnej kontroli anomalii. Po zakończeniu uczenia dalsze działania są dozwolone lub zablokowane, zależnie od rezultatów uczenia. Można zdefiniować wykluczenia dla reguł Adaptacyjnej kontroli anomalii. Wykluczenie dla reguły Adaptacyjnej kontroli anomalii zawiera opis obiektów źródłowych i docelowych. Obiekt źródłowy to obiekt wykonujący działania. Obiekt docelowy to obiekt, na którym wykonywane są działania. Na przykład, otworzyłeś plik o nazwie `file.xlsx`. W rezultacie plik biblioteki z rozszerzeniem DLL jest załadowywany do pamięci komputera. Ta biblioteka jest używana przez przeglądarkę (plik wykonywalny o nazwie `browser.exe`). W tym przykładzie `file.xlsx` to obiekt źródłowy, Excel to proces źródłowy, `browser.exe` to obiekt docelowy, a Browser to proces docelowy.

Parametr

System operacyjny

Opis

Pokaż raport → Stan reguł

Windows

Ten raport zawiera informacje o stanie reguł wykrywania komponentu Adaptacyjna kontrola anomalii (na przykład: Wyłączono lub Zablokuj). Raport jest generowany dla wszystkich grup administracyjnych.

Pokaż raport → Wykrycia

Windows

Ten raport zawiera informacje o nietypowych działaniach wykrytych przy użyciu komponentu Adaptacyjna kontrola anomalii. Raport jest generowany dla wszystkich grup administracyjnych.

Reguły

Windows

Tabela reguł komponentu Adaptacyjna kontrola anomalii. Reguły są tworzone przez specjalistów z Kaspersky w oparciu o typowe scenariusze złośliwej aktywności.

Reguły Adaptacyjnej kontroli anomalii mogą działać w jednym z następujących trybów:

Powiadom.
Aplikacja zezwala na aktywność objętą regułą i rejestruje odpowiedni wpis.
Zablokuj.
Aplikacja blokuje aktywność objętą regułą i rejestruje odpowiedni wpis.
Inteligentny.
Reguła działa w stanie inteligentnego uczenia przez okres zdefiniowany przez ekspertów Kaspersky. W tym trybie, po wyzwoleniu reguły, aplikacja zezwala na aktywność objętą regułą i rejestruje wpis w magazynie detekcji Adaptacyjnej kontroli anomalii. Po zakończeniu uczenia dalsze działania są dozwolone lub zablokowane, zależnie od rezultatów uczenia.

Można zdefiniować wykluczenia dla reguł Adaptacyjnej kontroli anomalii. Wykluczenie dla reguły Adaptacyjnej kontroli anomalii zawiera opis obiektów źródłowych i docelowych. Obiekt źródłowy to obiekt wykonujący działania. Obiekt docelowy to obiekt, na którym wykonywane są działania. Na przykład, otworzyłeś plik o nazwie file.xlsx. W rezultacie plik biblioteki z rozszerzeniem DLL jest załadowywany do pamięci komputera. Ta biblioteka jest używana przez przeglądarkę (plik wykonywalny o nazwie browser.exe). W tym przykładzie file.xlsx to obiekt źródłowy, Excel to proces źródłowy, browser.exe to obiekt docelowy, a Browser to proces docelowy.

Przejdź do góry