Überwachungstools der „Adaptiven Kontrolle von Anomalien“
Die „Adaptive Kontrolle von Anomalien“ umfasst mehrere Überwachungstools. Der Hauptzweck der Überwachung der „Adaptiven Kontrolle von Anomalien“ besteht darin, die Komponente während des Trainings zu konfigurieren.
Berichte der „Adaptiven Kontrolle von Anomalien“
Die „Adaptive Kontrolle von Anomalien“ verwendet die folgenden Berichte:
- Statusbericht für Regeln der „Adaptiven Kontrolle von Anomalien“. Der Bericht enthält Informationen über den Status der Regeln der Adaptiven Kontrolle von Anomalien (Aus, Smart Training, Smarte Blockierung, Benachrichtigen, Blockieren). Mit diesem Bericht können Sie den Trainingsstand der Adaptiven Kontrolle von Anomalien analysieren und ermitteln, für wie viele Regeln der Modus Smart Training in den normalen Funktionsmodus (z. B. Smarte Blockierung) geändert wurde.
- Bericht über ausgelöste Regeln der „Adaptiven Kontrolle von Anomalien“. Der Bericht enthält Informationen zu Regelauslösern. Der Bericht enthält auch Informationen zum Auslösemodus für Regeln: Blockieren (einschließlich Smarte Blockierung) oder Benachrichtigen. Mit diesem Bericht können Sie die Aktivität der „Adaptiven Kontrolle von Anomalien“ auf Benutzercomputern auswerten.
So zeigen Sie Berichte der „Adaptiven Kontrolle von Anomalien“ an (in der Verwaltungskonsole (MMC))
- Öffnen Sie die Verwaltungskonsole von Kaspersky Security Center.
- Wählen Sie in der Konsolenstruktur den Punkt Richtlinien aus.
- Wählen Sie die gewünschte Richtlinie aus und öffnen Sie mit einem Doppelklick das Fenster mit den Richtlinieneigenschaften.
- Wählen Sie im Richtlinienfenster Sicherheitskontrolle → Adaptive Kontrolle von Anomalien aus.
- Führen Sie eine der folgenden Aktionen aus:
- Um einen Bericht über den Status von Regeln der „Adaptiven Kontrolle von Anomalien“ anzuzeigen, klicken Sie auf den Link Statusbericht für Regeln der „Adaptiven Kontrolle von Anomalien“.
- Wenn Sie einen Bericht über ausgelöste Regeln der „Adaptiven Kontrolle von Anomalien“ anzeigen möchten, klicken Sie auf den Link Bericht über ausgelöste Regeln der „Adaptiven Kontrolle von Anomalien“.
- Der Vorgang zur Berichterstellung wird gestartet.
Der Bericht wird in einem neuen Fenster angezeigt.
So zeigen Sie Berichte der „Adaptiven Kontrolle von Anomalien“ an (in der Web Console)
- Wählen Sie im „Web Console“-Hauptfenster den Punkt Assets (Geräte) → Richtlinien und Profile aus.
- Klicken Sie auf den Namen der Richtlinie von Kaspersky Endpoint Security.
Das Fenster mit den Richtlinieneigenschaften wird geöffnet.
- Wählen Sie die Registerkarte Programmeinstellungen aus.
- Gehen Sie zu Sicherheitskontrolle → Adaptive Kontrolle von Anomalien.
- Führen Sie eine der folgenden Aktionen aus:
- Um einen Bericht über den Status von Regeln der „Adaptiven Kontrolle von Anomalien“ anzuzeigen, klicken Sie auf den Link Statusbericht für Regeln der „Adaptiven Kontrolle von Anomalien“.
- Wenn Sie einen Bericht über ausgelöste Regeln der „Adaptiven Kontrolle von Anomalien“ anzeigen möchten, klicken Sie auf den Link Bericht über ausgelöste Regeln der „Adaptiven Kontrolle von Anomalien“.
- Der Vorgang zur Berichterstellung wird gestartet.
Der Bericht wird in einem neuen Fenster angezeigt.
Um Berichte in der Kaspersky Security Center-Konsole zu erstellen, müssen Sie die Datenübertragung an den Administrationsserver aktivieren. Die Datenübertragung ist standardmäßig aktiviert.
So aktivieren Sie die Datenübertragung für die „Adaptive Kontrolle von Anomalien“ (in der Verwaltungskonsole (MMC))
- Öffnen Sie die Verwaltungskonsole von Kaspersky Security Center.
- Wählen Sie in der Konsolenstruktur den Punkt Richtlinien aus.
- Wählen Sie die gewünschte Richtlinie aus und öffnen Sie mit einem Doppelklick das Fenster mit den Richtlinieneigenschaften.
- Wählen Sie im Richtlinienfenster Allgemeine Einstellungen → Berichte und Speicher aus.
- Klicken Sie im Block Datenübertragung an den Administrationsserver auf Einstellungen.
- Aktivieren Sie die folgenden Kontrollkästchen:
- Statusbericht für Regeln der „Adaptiven Kontrolle von Anomalien“.
- Bericht über ausgelöste Regeln der „Adaptiven Kontrolle von Anomalien“.
- Speichern Sie die vorgenommenen Änderungen.
So aktivieren Sie die Datenübertragung für die „Adaptive Kontrolle von Anomalien“ (in der Web Console)
- Wählen Sie im „Web Console“-Hauptfenster den Punkt Assets (Geräte) → Richtlinien und Profile aus.
- Klicken Sie auf den Namen der Richtlinie von Kaspersky Endpoint Security.
Das Fenster mit den Richtlinieneigenschaften wird geöffnet.
- Wählen Sie die Registerkarte Programmeinstellungen aus.
- Gehen Sie zu Allgemeine Einstellungen → Berichte und Speicher.
- Aktivieren Sie unter Datenübertragung an den Administrationsserver die folgenden Kontrollkästchen:
- Statusbericht für Regeln der „Adaptiven Kontrolle von Anomalien“.
- Bericht über ausgelöste Regeln der „Adaptiven Kontrolle von Anomalien“.
- Speichern Sie die vorgenommenen Änderungen.
Speicher Auslöser der Regel im Smart-Training-Status
Im Trainingsmodus sendet die Adaptive Kontrolle von Anomalien Informationen über ausgelöste Regeln an einen separaten Speicher (Auslöser der Regel im Smart-Training-Status). Informationen über ausgelöste Regeln werden im Speicher als Ereignisliste angezeigt. Um die „Adaptive Kontrolle von Anomalien“ anzupassen, können Sie entweder das ungewöhnliche Verhalten auf dem Computer bestätigen oder eine Ausnahme für die Regel hinzufügen.
Ereignisse in der „Adaptiven Kontrolle von Anomalien“
Die Adaptive Kontrolle von Anomalien protokolliert Ereignisse, bei denen Regeln ausgelöst werden, in den Modi Blockieren (einschließlich Smarte Blockierung) und Benachrichtigen. Dazu sind folgende Ereignisse vorgesehen:
Aktion eines Prozesses blockiert
Aktion eines Prozesses übersprungen
Ereignisse enthalten Informationen über die verdächtige Aktivität, einschließlich Dateiprüfsummen, beteiligte Benutzer, Zeitpunkt der Regelauslösung und Computername. Wenn die Ereignisanalyse ergibt, dass die Aktivität zulässig ist, können Sie sofort Ausnahmen für die Regel hinzufügen.
Nach oben