场景：在“智能”模式下配置自适应异常控制规则

分阶段配置自适应异常控制规则：

1. 训练

   启用自适应异常控制后，其规则处于“智能培训”状态。在训练期间，自适应异常控制会监控规则所做的检测，并将检测事件发送到服务器。

   在训练期间，如果某个设备上完全没有触发某条规则，自适应异常控制会将与该规则关联的操作视为异常操作。Kaspersky Endpoint Security Cloud 将阻止该设备上与该规则关联的所有操作。

   如果在训练期间触发了规则，Kaspersky Endpoint Security Cloud 会将事件添加到检测报告和隔离区的“自适应异常控制规则检测”存储库中。

2. 处理检测列表

   分析“自适应异常控制规则检测”存储库中的检测列表。对于每项检测，执行以下其中一项操作：

   • 如果检测正常，则将其添加到排除项中。该检测以及其他设备上对同一对象的所有检测都将从列表中删除。之后，该对象将不会再在任何用户设备上被检测到。

     您最多可以为所有规则添加 1000 个排除项。

   • 如果检测确实异常，请确认。该检测将从列表中删除。之后，如果在同一设备或任何其他设备上再次检测到该对象，它将重新出现在检测列表中。

每条规则均由卡巴斯基专家设定了训练时长。训练通常持续两周。仅当 Kaspersky Endpoint Security for Windows 在设备上运行时，才会针对该设备单独计算训练时间。例如，如果某个设备上的训练已持续一周，然后该设备关闭了一个月，则只有再次打开该设备后，第二周的训练才会开始。

如果训练期间设备上没有未处理的检测，规则训练将会结束。因此，我们建议您至少每周处理一次检测。

页面顶部