Kiểm soát thích ứng sự cố

Thành phần này khả dụng nếu Kaspersky Endpoint Security được cài đặt trên một máy tính chạy Windows dành cho máy trạm. Thành phần này không khả dụng nếu Kaspersky Endpoint Security được cài đặt trên một máy tính chạy Windows cho máy chủ.

Thành phần Kiểm soát thích ứng sự cố sẽ giám sát và chặn các hành động mà các máy tính trong mạng công ty ít có khả năng thực hiện. Kiểm soát thích ứng sự cố sử dụng một bộ quy tắc để theo dõi các hành vi không điển hình (ví dụ, quy tắc Khởi chạy Microsoft PowerShell từ ứng dụng office). Các quy tắc này được tạo bởi các chuyên gia của Kaspersky dựa trên các tình huống hoạt động độc hại thông thường. Bạn có thể cấu hình cách Kiểm soát thích ứng sự cố xử lý từng quy tắc và, chẳng hạn, cho phép thực thi các kịch bản PowerShell tự động hóa một số tác vụ dòng công việc nhất định. Kaspersky Endpoint Security cập nhật ộ quy tắc cùng với các cơ sở dữ liệu ứng dụng. Cập nhật đến các bộ quy tắc phải được xác nhận thủ công.

Thiết lập Kiểm soát thích ứng sự cố

Cấu hình Kiểm soát thích ứng sự cố bao gồm các bước sau:

1. Rèn luyện Kiểm soát thích ứng sự cố.

   Sau khi bạn bật Kiểm soát thích ứng sự cố, các quy tắc của nó sẽ hoạt động trong chế độ rèn luyện. Trong quá trình rèn luyện, Kiểm soát thích ứng sự cố sẽ theo dõi việc kích hoạt quy tắc và gửi các sự kiện kích hoạt đến Kaspersky Security Center. Mỗi quy tắc đều có thời lượng rèn luyện riêng. Thời lượng của chế độ rèn luyện được quy định bởi các chuyên gia Kaspersky. Thông thường, chế độ rèn luyện sẽ hoạt động trong 2 tuần.

   Nếu một quy tắc hoàn toàn không được kích hoạt trong quá trình huấn luyện, Kiểm soát thích ứng sự cố sẽ coi các hành động liên quan đến quy tắc này là ít gặp. Kaspersky Endpoint Security sẽ chặn mọi hành động liên quan đến quy tắc đó.

   Nếu một quy tắc được kích hoạt trong quá trình huấn luyện, Kaspersky Endpoint Security sẽ ghi lại sự kiện này trong báo cáo kích hoạt quy tắc và kho lưu trữ Triggering of rules in Smart Training state.

2. Phân tích báo cáo kích hoạt quy tắc.

   Quản trị viên sẽ phân tích báo cáo kích hoạt quy tắc hoặc nội dung của kho lưu trữ Triggering of rules in Smart Training state. Sau đó, quản trị viên có thể lựa chọn hành vi của Kiểm soát thích ứng sự cố khi quy tắc này được kích hoạt: chặn hoặc cho phép nó. Quản trị viên cũng có thể tiếp tục giám sát cách hoạt động của quy tắc và kéo dài thời lượng của chế độ rèn luyện. Nếu quản trị viên không có hành động nào, ứng dụng cũng sẽ tiếp tục hoạt động trong chế độ rèn luyện. Thời lượng của chế độ rèn luyện được bắt đầu lại.

Kiểm soát thích ứng sự cố được cấu hình trong thời gian thực. Kiểm soát thích ứng sự cố được cấu hình qua các kênh sau:

• Kiểm soát thích ứng sự cố khởi chạy tự động để chặn các hành động liên kết với các quy tắc không bao giờ được kích hoạt trong chế độ rèn luyện.
• Kaspersky Endpoint Security bổ sung các quy tắc mới hoặc xóa các quy tắc đã lỗi thời.
• Quản trị viên cấu hình hoạt động của Kiểm soát thích ứng sự cố sau khi xem lại báo cáo kích hoạt quy tắc và nội dung của kho lưu trữ Triggering of rules in Smart Training state. Bạn nên kiểm tra báo cáo kích hoạt quy tắc và nội dung của kho lưu trữ Triggering of rules in Smart Training state.

Khi một ứng dụng độc hại cố gắng thực hiện một hành động, Kaspersky Endpoint Security sẽ chặn hành động đó và hiển thị một thông báo (xem hình dưới đây).

Thông báo của Kiểm soát thích ứng sự cố

Thuật toán vận hành Kiểm soát thích ứng sự cố

Kaspersky Endpoint Security quyết định liệu có cho phép hay chặn một hành động liên kết với một quy tắc dựa trên thuật toán sau (xem hình dưới đây).

Thuật toán vận hành Kiểm soát thích ứng sự cố

Cấu hình thành phần Kiểm soát thích ứng sự cố

Tham số	Mô tả
Báo cáo về trạng thái các quy tắc Kiểm soát thích ứng sự cố (chỉ khả dụng trong Bảng điều khiển Kaspersky Security Center)	Báo cáo này chứa thông tin về trạng thái của quy tắc phát hiện Kiểm soát thích ứng sự cố (ví dụ, Đã tắt hoặc Chặn). Báo cáo này được tạo cho tất cả các nhóm quản trị.
Báo cáo về các quy tắc Kiểm soát thích ứng sự cố được kích hoạt (chỉ khả dụng trong Bảng điều khiển Kaspersky Security Center)	Báo cáo này chứa thông tin về các hành động ít gặp được phát hiện bằng cách sử dụng Kiểm soát thích ứng sự cố. Báo cáo này được tạo cho tất cả các nhóm quản trị.
Quy tắc	Bảng quy tắc Kiểm soát thích ứng sự cố. Các quy tắc này được tạo bởi các chuyên gia của Kaspersky dựa trên các tình huống hoạt động độc hại tiềm năng.
Mẫu	Tin nhắn về hoạt động chặn. Mẫu thông báo được hiển thị cho người dùng khi một quy tắc Kiểm soát thích ứng sự cố chặn một hành động ít gặp. Thông điệp đến quản trị viên. Khuôn mẫu thông báo mà người dùng có thể gửi đến quản trị viên mạng doanh nghiệp cục bộ nếu người dùng cho rằng việc chặn là do nhầm lẫn. Sau khi người dùng yêu cầu cung cấp quyền truy cập, Kaspersky Endpoint Security sẽ gửi một sự kiện đến Kaspersky Security Center: Thông báo chặn hoạt động của ứng dụng gửi đến quản trị viên. Phần mô tả sự kiện chứa một thông báo cho quản trị viên với các biến được thay thế. Bạn có thể xem các sự kiện này trong bảng điều khiển Kaspersky Security Center bằng cách sử dụng lựa chọn sự kiện được định sẵn User requests. Nếu tổ chức của bạn chưa triển khai Kaspersky Security Center hoặc không có kết nối với Máy chủ quản trị thì ứng dụng sẽ gửi một thông báo cho quản trị viên tới địa chỉ email được chỉ định.

Xem thêm: Quản lý ứng dụng qua giao diện cục bộ Bật và tắt Kiểm soát thích ứng sự cố Bật và tắt một quy tắc Kiểm soát thích ứng sự cố Sửa hành động được thực hiện khi một quy tắc Kiểm soát thích ứng sự cố được kích hoạt Tạo loại trừ cho một quy tắc Kiểm soát thích ứng sự cố Xuất và nhập các loại trừ cho quy tắc Kiểm soát thích ứng sự cố Áp dụng bản cập nhật cho các quy tắc của Kiểm soát thích ứng sự cố Chỉnh sửa khuôn mẫu tin nhắn Kiểm soát thích ứng sự cố Xem các báo cáo Kiểm soát thích ứng sự cố

Về đầu trang