Мониторинг работы Адаптивного контроля аномалий
Адаптивный контроль аномалий включает в себя несколько инструментов мониторинга. Мониторинг работы Адаптивного контроля аномалий нужен в первую очередь для настройки компонента во время обучения.
Отчеты Адаптивного контроля аномалий
Адаптивный контроль аномалий использует следующие отчеты:
- Отчет о состоянии правил Адаптивного контроля аномалий. Отчет содержит информацию о статусе правил Адаптивного контроля аномалий (Выключено, Интеллектуальное обучение, Интеллектуальное блокирование, Уведомлять, Блокировать). Отчет позволяет проанализировать уровень обучения Адаптивного контроля аномалий и оценить количество правил, которые перешли из режима Интеллектуальное обучение в рабочий режим (например, Интеллектуальное блокирование).
- Отчет о срабатываниях правил Адаптивного контроля аномалий. Отчет содержит информацию о срабатываниях правил. Также отчет показывает режим срабатывания правила: Блокировать (включая Интеллектуальное блокирование) или Уведомлять. Отчет позволяет оценить активность Адаптивного контроля аномалий на компьютерах пользователей.
Как посмотреть отчеты Адаптивного контроля аномалий в Консоли администрирования (MMC)
- Откройте Консоль администрирования Kaspersky Security Center.
- В дереве консоли выберите папку Политики.
- Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
- В окне политики выберите Контроль безопасности → Адаптивный контроль аномалий.
- Выполните одно из следующих действий:
- Если вы хотите просмотреть отчет о параметрах правил Адаптивного контроля аномалий, перейдите по ссылке Отчет о состоянии правил Адаптивного контроля аномалий.
- Если вы хотите просмотреть отчет о срабатываниях правил Адаптивного контроля аномалий, перейдите по ссылке Отчет о срабатываниях правил Адаптивного контроля аномалий.
- Запустится процесс формирования отчета.
Отчет отобразится в новом окне.
Как посмотреть отчеты Адаптивного контроля аномалий в Web Console
- В главном окне Web Console выберите Активы (Устройства) → Политики и профили политик.
- Нажмите на название политики Kaspersky Endpoint Security.
Откроется окно свойств политики.
- Выберите закладку Параметры приложения.
- Перейдите в раздел Контроль безопасности → Адаптивный контроль аномалий.
- Выполните одно из следующих действий:
- Если вы хотите просмотреть отчет о параметрах правил Адаптивного контроля аномалий, перейдите по ссылке Отчет о состоянии правил Адаптивного контроля аномалий.
- Если вы хотите просмотреть отчет о срабатываниях правил Адаптивного контроля аномалий, перейдите по ссылке Отчет о срабатываниях правил Адаптивного контроля аномалий.
- Запустится процесс формирования отчета.
Отчет отобразится в новом окне.
Для формирования отчетов в консоли Kaspersky Security Center необходимо включить передачу данных на Сервер администрирования. По умолчанию передача данных включена.
Как включить передачу данных для отчетов Адаптивного контроля аномалий в Консоли администрирования (MMC)
- Откройте Консоль администрирования Kaspersky Security Center.
- В дереве консоли выберите папку Политики.
- Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
- В окне политики выберите Общие настройки → Отчеты и хранилище.
- В блоке Передача данных на Сервер администрирования нажмите на кнопку Настройка.
- Установите следующие флажки:
- Отчет о состоянии правил Адаптивного контроля аномалий.
- Отчет о срабатываниях правил Адаптивного контроля аномалий.
- Сохраните внесенные изменения.
Как включить передачу данных для отчетов Адаптивного контроля аномалий в Web Console
- В главном окне Web Console выберите Активы (Устройства) → Политики и профили политик.
- Нажмите на название политики Kaspersky Endpoint Security.
Откроется окно свойств политики.
- Выберите закладку Параметры приложения.
- Перейдите в раздел Общие настройки → Отчеты и хранилище.
- В блоке Передача данных на Сервер администрирования установите следующие флажки:
- Отчет о состоянии правил Адаптивного контроля аномалий.
- Отчет о срабатываниях правил Адаптивного контроля аномалий.
- Сохраните внесенные изменения.
Хранилище Правила срабатываний в статусе Интеллектуальное обучение
В режиме обучения Адаптивный контроль аномалий отправляет информацию о срабатывании правил в отдельное хранилище Правила срабатываний в статусе Интеллектуальное обучение. Информация о срабатывании правил представлена в хранилище в виде списка событий. Для настройки Адаптивного контроля аномалий вы можете или подтвердить нетипичное поведение на компьютере, или добавить исключение для правила.
События Адаптивного контроля аномалий
Адаптивный контроль аномалий регистрирует события срабатывания правил в режимах Блокировать (включая Интеллектуальное блокирование) и Уведомлять. Для этого предусмотрены следующие события:
Действие процесса заблокировано;
Действие процесса пропущено.
События содержат информацию о подозрительной активности, включая контрольные суммы файлов, учетные записи пользователей, время срабатывания правила и имя компьютера. После анализа события вы можете сразу добавить исключения для правила, если активность является легитимной.
В начало