Adaptieve controle op afwijkingen
Dit onderdeel is beschikbaar als Kaspersky Endpoint Security is geïnstalleerd op een computer met Windows voor werkstations. Dit onderdeel is niet beschikbaar als Kaspersky Endpoint Security is geïnstalleerd op een computer met Windows voor servers.
Het onderdeel Adaptieve controle op afwijkingen bewaakt en blokkeert acties die niet kenmerkend zijn voor de computers in het bedrijfsnetwerk. Adaptieve controle op afwijkingen gebruikt een aantal regels om afwijkend gedrag bij te houden (bijvoorbeeld de regel Start van Windows PowerShell via Office-programma). Regels worden door Kaspersky-experts gemaakt op basis van kenmerkende scenario's van malware-activiteit. U kunt configureren hoe Adaptieve controle op afwijkingen elke regel moet gebruiken en bijvoorbeeld toestaan dat PowerShell-scripts voor de automatisering van bepaalde workflows worden uitgevoerd. Kaspersky Endpoint Security updatet de reeks regels samen met de programmadatabases. Updates voor deze regels moeten handmatig worden bevestigd.
Instellingen van Adaptieve controle op afwijkingen
De configuratie van Adaptieve controle op afwijkingen bestaat uit de volgende stappen:
- Adaptieve controle op afwijkingen trainen.
Nadat u Adaptieve controle op afwijkingen hebt ingeschakeld, werken de regels ervan in de trainingsmodus. Tijdens de training bewaakt Adaptieve controle op afwijkingen de activering van regels en verstuurt het activeringsgebeurtenissen naar Kaspersky Security Center. Elke regel heeft een eigen trainingsduur. De duur van de trainingsmodus is door experts van Kaspersky vastgelegd. Normaal is de trainingsmodus twee weken actief.
Als een regel tijdens de training niet één keer is geactiveerd, zal Adaptieve controle op afwijkingen de acties die zijn gekoppeld aan deze regel als niet typisch beschouwen. Kaspersky Endpoint Security blokkeert dan alle acties die aan die regel zijn gekoppeld.
Als een regel tijdens de training is geactiveerd, registreert Kaspersky Endpoint Security gebeurtenissen in het rapport over de activering van regels en de opslagplaats Triggering of rules in Smart Training state.
- Rapport over activering van regels analyseren.
De beheerder analyseert het rapport over de activering van regels of de inhoud van de opslagplaats Triggering of rules in Smart Training state. Daarna kan de beheerder het gedrag van Adaptieve controle op afwijkingen selecteren wanneer de regel wordt geactiveerd: blokkeren of toestaan. De beheerder kan ook verder bewaken hoe de regel werkt en de duur van de training verlengen. Als de beheerder geen actie onderneemt, blijft het programma ook werken in de trainingsmodus. De periode van de trainingsmodus wordt dan herstart.
Adaptieve controle op afwijkingen wordt in realtime geconfigureerd. Adaptieve controle op afwijkingen wordt via de volgende kanalen geconfigureerd:
- Adaptieve controle op afwijkingen begint automatisch de acties te blokkeren voor de regels die nooit zijn geactiveerd in de trainingsmodus.
- Kaspersky Endpoint Security voegt nieuwe regels toe of verwijdert oude regels.
- De beheerder configureert de werking van Adaptieve controle op afwijkingen na de controle van het rapport over de activering van regels en de inhoud van de opslagplaats Triggering of rules in Smart Training state. U wordt aanbevolen het rapport over de activering van regels en de inhoud van de opslagplaats Triggering of rules in Smart Training state te controleren.
Wanneer een schadelijk programma een actie probeert uit te voeren, blokkeert Kaspersky Endpoint Security de actie en toont het een melding (zie onderstaande afbeelding).
Melding van Adaptieve controle op afwijkingen
Algoritme voor de werking van Adaptieve controle op afwijkingen
Op basis van het volgende algoritme (zie onderstaande afbeelding) beslist Kaspersky Endpoint Security of een actie van een regel al dan niet mag worden uitgevoerd.
Algoritme voor de werking van Adaptieve controle op afwijkingen
Instellingen van het onderdeel Adaptieve controle op afwijkingen
Parameter |
Beschrijving |
|---|---|
Rapport over de status van de regels van Adaptieve controle op afwijkingen (alleen beschikbaar in de Kaspersky Security Center-console) |
Dit rapport bevat informatie over de status van de detectieregels van Adaptieve controle op afwijkingen (bijvoorbeeld Uitgeschakeld of Blokkeren). Het rapport wordt voor alle beheergroepen gegenereerd. |
Rapport over geactiveerde regels van Adaptieve controle op afwijkingen (alleen beschikbaar in de Kaspersky Security Center-console) |
Dit rapport bevat informatie over afwijkende acties die door Adaptieve controle op afwijkingen zijn gedetecteerd. Het rapport wordt voor alle beheergroepen gegenereerd. |
Regels |
Tabel met regels voor Adaptieve controle op afwijkingen. Regels worden door Kaspersky-experts gemaakt op basis van kenmerkende scenario's van potentiële schadelijke activiteit. |
Sjablonen |
Bericht over blokkering. Sjabloon van het bericht dat wordt weergegeven aan een gebruiker wanneer een regel van Adaptieve controle op afwijkingen wordt geactiveerd voor de blokkering van een afwijkende actie. Bericht aan beheerder. Sjabloon van het bericht dat een gebruiker kan versturen naar de beheerder van het lokale bedrijfsnetwerk als de gebruiker vindt dat de blokkering een vergissing is. Nadat de gebruiker toegang heeft gevraagd, stuurt Kaspersky Endpoint Security een gebeurtenis naar Kaspersky Security Center: Bericht over blokkering van programma-activiteit aan beheerder. De beschrijving van de gebeurtenis bevat een bericht aan de beheerder met vervangende variabelen. U kunt deze gebeurtenissen in de Kaspersky Security Center-console bekijken met de voorgedefinieerde gebeurtenisselectie User requests. Als uw organisatie Kaspersky Security Center niet heeft geïmplementeerd of als er geen verbinding is met de beheerserver, stuurt het programma een bericht aan de beheerder naar het opgegeven e-mailadres. |