自适应异常控制
如果 Kaspersky Endpoint Security 安装在运行 Windows for Workstations 的计算机上,则该组件可用。如果 Kaspersky Endpoint Security 安装在运行 Windows for Servers 的计算机上,则该组件不可用。
自适应异常控制组件会监视并阻止不是公司网络内计算机典型操作的相关操作。自适应异常控制使用一组规则来跟踪非典型行为(例如,从 office 应用程序启动 Microsoft PowerShell 规则)。规则由 Kaspersky 专家根据恶意活动的典型情景创建。您可以配置“自适应异常控制”处理每条规则的方式,例如,允许执行使某些工作流任务自动化的 PowerShell 脚本。Kaspersky Endpoint Security 会同时更新规则集和应用程序数据库。规则集的更新必须手动确认。
“自适应异常控制”设置
配置“自适应异常控制”包括以下步骤:
- 训练“自适应异常控制”。
启用“自适应异常控制”后,其规则在训练模式下工作。在训练期间,“自适应异常控制”监控规则触发并将触发事件发送到 Kaspersky Security Center。每条规则都有自己的训练模式持续时间。训练模式持续时间由 Kaspersky 专家设置。通常,训练模式保持活动两周。
如果在训练期间某条规则完全未触发,“自适应异常控制”会将与此规则关联的操作视为非典型操作。Kaspersky Endpoint Security 将阻止与该规则相关的所有操作。
如果在训练期间触发了某条规则,Kaspersky Endpoint Security 会将事件记录在规则触发报告和“智能培训状态中的规则触发”存储库中。
- 分析规则触发报告。
管理员分析规则触发报告或者“智能培训状态中的规则触发”存储库的内容。然后管理员可以选择在触发规则时“自适应异常控制”的行为:阻止或允许。管理员还可以继续监控规则的工作方式并延长训练模式的持续时间。如果管理员未采取任何操作,应用程序也将继续在训练模式下工作。训练模式期限重新开始。
“自适应异常控制”为实时配置。“自适应异常控制”通过以下通道配置:
- “自适应异常控制”自动开始阻止与从未在训练模式中触发的规则相关联的操作。
- Kaspersky Endpoint Security 添加新规则或删除过时规则。
- 管理员在查看规则触发报告和“智能培训状态中的规则触发”存储库的内容后配置“自适应异常控制”的操作。建议检查规则触发报告和“智能培训状态中的规则触发”的内容。
当恶意应用程序尝试执行操作时,Kaspersky Endpoint Security 将阻止该操作并显示通知(请参见下图)。
“自适应异常控制”通知
“自适应异常控制”操作算法
Kaspersky Endpoint Security 根据以下算法决定是允许还是阻止与某条规则关联的操作(请参见下图)。
“自适应异常控制”操作算法
自适应异常控制组件设置
参数 |
描述 |
|---|---|
关于自适应异常控制规则的状态报告 (仅在 Kaspersky Security Center 控制台可用) |
该报告包含有关自适应异常控制检测规则状态的信息(例如,已禁用或阻止)。该报告针对所有管理组生成。 |
关于触发的自适应异常控制规则报告 (仅在 Kaspersky Security Center 控制台可用) |
该报告包含使用“自适应异常控制”检测到的非典型操作的相关信息。该报告针对所有管理组生成。 |
规则 |
自适应异常控制规则表。规则由 Kaspersky 专家根据疑似恶意活动的典型情景创建。 |
模板 |
“阻止消息”。当阻止非典型操作的自适应异常控制规则触发时,显示给用户的消息的模板。 “给管理员的消息”。当用户认为阻止是错误的时可以发送给本地公司网络管理员的消息的模板。在用户请求提供访问权限后,Kaspersky Endpoint Security 向 Kaspersky Security Center 发送一个事件: 发送给管理员的应用程序活动阻止消息。事件描述包含一条给管理员的消息,其中包含替换变量。您可以使用预定义事件分类用户请求在 Kaspersky Security Center 控制台中查看这些事件。如果您的组织没有部署 Kaspersky Security Center 或者没有连接到管理服务器,应用程序将向管理员发送一条消息到指定的电子邮件地址。 |