Thành phần này chỉ khả dụng cho Kaspersky Endpoint Security for Business Advanced và Kaspersky Total Security for Business. Để biết thêm chi tiết về Kaspersky Endpoint Security for Business, vui lòng truy cập trang web của Kaspersky.
Thành phần này khả dụng nếu Kaspersky Endpoint Security được cài đặt trên một máy tính chạy Windows dành cho máy trạm. Thành phần này không khả dụng nếu Kaspersky Endpoint Security được cài đặt trên một máy tính chạy Windows cho máy chủ.
Thành phần Kiểm soát thích ứng sự cố sẽ giám sát và chặn các hành động mà các máy tính trong mạng công ty ít có khả năng thực hiện. Kiểm soát thích ứng sự cố sử dụng một bộ quy tắc để theo dõi các hành vi khác biệt (ví dụ, quy tắc Khởi động Microsoft PowerShell từ ứng dụng văn phòng). Các quy tắc này được tạo bởi các chuyên gia của Kaspersky dựa trên các tình huống hoạt động độc hại thông thường. Bạn có thể cấu hình cách Kiểm soát thích ứng sự cố xử lý từng quy tắc và, chẳng hạn, cho phép thực thi các kịch bản PowerShell tự động hóa một số tác vụ dòng công việc nhất định. Kaspersky Endpoint Security cập nhật ộ quy tắc cùng với các cơ sở dữ liệu ứng dụng. Cập nhật đến các bộ quy tắc phải được xác nhận thủ công.
Thiết lập Kiểm soát thích ứng sự cố
Cấu hình Kiểm soát thích ứng sự cố bao gồm các bước sau:
Sau khi bạn bật Kiểm soát thích ứng sự cố, các quy tắc của nó sẽ hoạt động trong chế độ rèn luyện. Trong quá trình rèn luyện, Kiểm soát thích ứng sự cố sẽ theo dõi việc kích hoạt quy tắc và gửi các sự kiện kích hoạt đến Kaspersky Security Center. Mỗi quy tắc đều có thời lượng rèn luyện riêng. Thời lượng của chế độ rèn luyện được quy định bởi các chuyên gia Kaspersky. Thông thường, chế độ rèn luyện sẽ hoạt động trong 2 tuần.
Nếu một quy tắc hoàn toàn không được kích hoạt trong quá trình huấn luyện, Kiểm soát thích ứng sự cố sẽ coi các hành động liên quan đến quy tắc này là ít gặp. Kaspersky Endpoint Security sẽ chặn mọi hành động liên quan đến quy tắc đó.
Nếu một quy tắc được kích hoạt trong quá trình rèn luyện, Kaspersky Endpoint Security sẽ ghi lại sự kiện này trong báo cáo kích hoạt quy tắc và kho lưu trữ Kích hoạt quy tắc trong chế độ Rèn luyện thông minh.
Quản trị viên sẽ phân tích báo cáo kích hoạt quy tắc hoặc nội dung của kho lưu trữ Kích hoạt quy tắc trong chế độ Rèn luyện thông minh. Sau đó, quản trị viên có thể lựa chọn hành vi của Kiểm soát thích ứng sự cố khi quy tắc này được kích hoạt: chặn hoặc cho phép nó. Quản trị viên cũng có thể tiếp tục giám sát cách hoạt động của quy tắc và kéo dài thời lượng của chế độ rèn luyện. Nếu quản trị viên không có hành động nào, ứng dụng cũng sẽ tiếp tục hoạt động trong chế độ rèn luyện. Thời lượng của chế độ rèn luyện được bắt đầu lại.
Kiểm soát thích ứng sự cố được cấu hình trong thời gian thực. Kiểm soát thích ứng sự cố được cấu hình qua các kênh sau:
Khi một ứng dụng độc hại cố gắng thực hiện một hành động, Kaspersky Endpoint Security sẽ chặn hành động đó và hiển thị một thông báo (xem hình dưới đây).
Thông báo của Kiểm soát thích ứng sự cố
Thuật toán vận hành Kiểm soát thích ứng sự cố
Kaspersky Endpoint Security quyết định liệu có cho phép hay chặn một hành động liên kết với một quy tắc dựa trên thuật toán sau (xem hình dưới đây).
Thuật toán vận hành Kiểm soát thích ứng sự cố
Cấu hình thành phần Kiểm soát thích ứng sự cố
Tham số |
Mô tả |
---|---|
Báo cáo trạng thái quy tắc (chỉ khả dụng trong Bảng điều khiển Kaspersky Security Center) |
Báo cáo này chứa thông tin về trạng thái của quy tắc phát hiện Kiểm soát thích ứng sự cố (ví dụ, Tắt hoặc Chặn). Báo cáo này được tạo cho tất cả các nhóm quản trị. |
Quy tắc đã kích hoạt báo cáo (chỉ khả dụng trong Bảng điều khiển Kaspersky Security Center) |
Báo cáo này chứa thông tin về các hành động ít gặp được phát hiện bằng cách sử dụng Kiểm soát thích ứng sự cố. Báo cáo này được tạo cho tất cả các nhóm quản trị. |
Quy tắc |
Bảng quy tắc Kiểm soát thích ứng sự cố. Các quy tắc này được tạo bởi các chuyên gia của Kaspersky dựa trên các tình huống hoạt động độc hại tiềm năng. |
Mẫu |
|