監控適應性異常控制操作
適應性異常控制包括幾種監控工具。監控適應性異常控制的主要目的是在訓練時配置元件。
適應性異常控制報告
適應性異常控制使用以下報告:
- 自適應異常控制規則狀態報告該報告包含有關適應性異常控制規則狀態的資訊(關閉, 智慧培訓,智慧封鎖, 通知,封鎖)。該報告允許分析適應性異常控制的訓練水平,並評估從 智慧培訓 模式切換至正常運作模式(例如, 智慧封鎖)的規則數目。
- 自適應異常控制規則觸發報告此報告包含有關規則觸發的資訊。報告也展示規則觸發模式:封鎖(包括 智慧封鎖)或者 通知。該報告可以評估使用者電腦上適應性異常控制的活動。
如何在管理主控台 (MMC) 中檢視適應性異常控制報告
- 開啟卡巴斯基安全管理中心管理主控台。
- 在主控台樹狀目錄中,選擇“政策”。
- 選擇必要的政策並點擊以開啟政策內容。
- 在政策視窗中,選擇“安全控制 → 自適應異常控制”。
- 請執行以下操作之一:
- 如果您想檢視有關適應性異常控制規則狀態的報告,請點擊 自適應異常控制規則狀態報告連接。
- 如果您想檢視有關被觸發的適應性異常控制規則的報告,請點擊 自適應異常控制規則觸發報告連接。
- 報告建立過程將開始。
此報告將顯示在新視窗中。
如何在網頁主控台中檢視適應性異常控制報告
- 在網頁主控台的主視窗中,選擇資產(裝置) → 政策和設定檔。
- 點擊 Kaspersky Endpoint Security 政策的名稱。
政策內容視窗將開啟。
- 選擇“應用程式設定”標籤。
- 轉到”安全控制”→”自適應異常控制”。
- 請執行以下操作之一:
- 如果您想檢視有關適應性異常控制規則狀態的報告,請點擊 自適應異常控制規則觸發報告連接。
- 如果您想檢視有關被觸發的適應性異常控制規則的報告,請點擊 關於觸發的自適應異常控制規則的報告連接。
- 報告建立過程將開始。
此報告將顯示在新視窗中。
若要在卡巴斯基安全管理中心主控台中產生報告,您必須啟用至管理伺服器的資料傳輸。預設情況下啟用資料傳輸。
如何在管理主控台 (MMC) 中啟用為適應性異常控制進行資料傳輸
- 開啟卡巴斯基安全管理中心管理主控台。
- 在主控台樹狀目錄中,選擇“政策”。
- 選擇必要的政策並點擊以開啟政策內容。
- 在政策視窗中,選擇“一般設定 → 報告和儲存”。
- 在”到管理伺服器的資料傳輸”塊中,點擊”設定”按鈕。
- 勾選以下核取方塊:
- 自適應異常控制規則狀態報告
- 自適應異常控制規則觸發報告
- 儲存變更。
如何在網頁主控台中啟用為適應性異常控制進行資料傳輸
- 在網頁主控台的主視窗中,選擇資產(裝置) → 政策和設定檔。
- 點擊 Kaspersky Endpoint Security 政策的名稱。
政策內容視窗將開啟。
- 選擇“應用程式設定”標籤。
- 轉到”一般設定”→”報告和儲存”。
- 在到管理伺服器的資料傳輸下面,選擇以下核取方塊:
- 自適應異常控制規則觸發報告
- 關於觸發的自適應異常控制規則的報告
- 儲存變更。
智慧培訓狀態中的規則觸發器 儲存
在訓練模式下,適應性異常控制會將有關已觸發規則的資訊傳送到單獨的存儲,智慧培訓狀態中的規則觸發器。有關已觸發規則的資訊在儲存中以事件清單的形式表示。若要調整適應性異常控制,您可以確認電腦上的異常行為,或者 新增規則排除項目。
“適應性異常控制”事件
適應性異常控制可記錄封鎖(包括 智慧封鎖)和 通知模式下的規則觸發事件。為此目的提供了以下事件:
處理程序操作已封鎖
已略過處理程序操作
事件包含有關可疑活動的資訊,包括檔案總和檢查碼、涉及的使用者、規則觸發時間和電腦名稱。分析事件後,如果您發現該活動合法,則可以立即從規則中新增排除項目。
頁面頂部