Monitorizarea operațiunilor componentei Control adaptiv al anomaliilor
Componenta Control adaptiv al anomaliilor include mai multe instrumente de monitorizare. Scopul principal al monitorizării componentei Control adaptiv al anomaliilor este de a configura componenta în timpul instruirii.
Rapoartele componentei Control adaptiv al anomaliilor
Componenta Control adaptiv al anomaliilor utilizează următoarele rapoarte:
- Raport cu privire la starea regulilor funcției Control adaptiv al anomaliilor. Raportul conține informații despre starea regulilor de Control adaptiv al anomaliilor (Off, Smart Training, Smart Block, Notify, Block). Acest raport permite analizarea nivelului de instruire al componentei Control adaptiv al anomaliilor și evaluarea numărului de reguli care au fost comutate de la modul Smart Training la modul de funcționare normal (de exemplu, Smart Block).
- Raport privind regulile declanșate ale funcției Control adaptiv al anomaliilor. Raportul conține informații despre declanșatoarele regulilor. Raportul arată și modul de declanșare a regulii: Block (inclusiv Smart Block) sau Notify. Aceste rapoarte permit evaluarea activității componentei Control adaptiv al anomaliilor pe computerele utilizatorilor.
Cum se vizualizează rapoartele componentei Control adaptiv al anomaliilor în Consola de administrare (MMC)
- În arborele Consolei de administrare Kaspersky Security Center, selectează Policies.
- Selectați politica necesară și faceți dublu clic pentru a deschide proprietățile politicii.
- În fereastra politicii, selectați Security Controls → Control adaptiv al anomaliilor.
- Efectuează una dintre următoarele acțiuni:
- Dacă dorești să vezi raportul cu privire la starea regulilor componentei Control adaptiv al anomaliilor, fă clic pe linkul Raport cu privire la starea regulilor funcției Control adaptiv al anomaliilor.
- Dacă dorești să vezi raportul privind regulile declanșate ale componentei Control adaptiv al anomaliilor, fă clic pe linkul Raport privind regulile declanșate ale funcției Control adaptiv al anomaliilor.
- Începe procesul de generare a raportului.
Raportul este afișat într-o fereastră nouă.
Cum se vizualizează rapoartele componentei Control adaptiv al anomaliilor în Web Console
- În fereastra principală a Web Console, selectați fila Assets (Devices) → Policies & profiles.
- Faceți clic pe numele politicii Kaspersky Endpoint Security.
Se deschide fereastra de proprietăți a politicii.
- Selectați fila Application settings.
- Accesați Security Controls → Adaptive Anomaly Control.
- În blocul Rules, efectuează una dintre următoarele acțiuni:
- Dacă dorești să vezi raportul cu privire la starea regulilor funcției Control adaptiv al anomaliilor, selectează View report → Rules state.
- Dacă dorești să vezi raportul privind regulile declanșate de funcția Control adaptiv al anomaliilor, fă clic pe View report → Detections.
- Începe procesul de generare a raportului.
Raportul este afișat într-o fereastră nouă.
Pentru a genera rapoarte în consola Kaspersky Security Center, trebuie să activezi transferul de date către Serverul de administrare. Transferul de date este activat în mod implicit.
Cum se activează transferul de date pentru componenta Control adaptiv al anomaliilor în Consola de administrare (MMC)
- În arborele Consolei de administrare Kaspersky Security Center, selectează Policies.
- Selectați politica necesară și faceți dublu clic pentru a deschide proprietățile politicii.
- În fereastra politicii, selectați Setări generale → Rapoarte și Spații de stocare.
- În blocul Transfer de date pe serverul de administrare, fă clic pe butonul Setări.
- Bifează următoarele casete:
- Raport cu privire la starea regulilor funcției Control adaptiv al anomaliilor.
- Raport privind regulile declanșate ale funcției Control adaptiv al anomaliilor.
- Salvați-vă modificările.
Cum se activează transferul de date pentru componenta Control adaptiv al anomaliilor în Web Console
- În fereastra principală a Web Console, selectați Assets (Devices) → Policies & profiles.
- Faceți clic pe numele politicii Kaspersky Endpoint Security.
Se deschide fereastra de proprietăți a politicii.
- Selectați fila Application settings.
- Accesați General Settings → Reports and Storage.
- În Data transfer to Administration Server, bifează următoarele casete de selectare:
- Report on Adaptive Anomaly Control rules state.
- Report on triggered Adaptive Anomaly Control rules.
- Salvați-vă modificările.
Spațiul de stocare Rule triggers in Smart Training state
În modul de instruire, componenta Control adaptiv al anomaliilor trimite informații despre regulile declanșate către un spațiu de stocare separat, Rule triggers in Smart Training state. Informațiile despre regulile declanșate sunt reprezentate în spațiul de stocare sub forma unei liste de evenimente. Pentru a ajusta componenta Control adaptiv al anomaliilor, poți fie să confirmi comportamentul atipic pe computer, fie să adaugi o excludere de la regulă.
Evenimentele componentei Control adaptiv al anomaliilor
Componenta Control adaptiv al anomaliilor înregistrează în jurnal evenimentele care declanșează regulile în modurile Block (inclusiv Smart Block) și Notify. Următoarele evenimente sunt prevăzute în acest scop:
Process action blocked
Process action skipped
Evenimentele conțin informații despre activitatea suspectă, inclusiv sumele de control ale fișierelor, utilizatorii implicați, ora de declanșare a regulii și numele computerului. După analizarea evenimentului, poți adăuga imediat excluderi de la regulă în cazul în care consideri că activitatea este legitimă.
Începutul paginii