Срабатывание правил в режиме Интеллектуального обучения

В этом разделе представлена информация об обнаружениях, выполненных правилами Адаптивного контроля аномалий Kaspersky Endpoint Security для Windows на клиентских устройствах.

Правила обнаруживают аномальное поведение на клиентских устройствах и могут блокировать его. Если правила работают в режиме Интеллектуального обучения, они обнаруживают аномальное поведение и отправляют отчеты о каждом таком случае на Сервер администрирования Kaspersky Security Center. Эта информация хранится в виде списка в папке Правила срабатываний в статусе Интеллектуальное обучение, вложенной в папку Хранилища. Вы можете подтвердить обнаружение как корректное или добавить его в исключения, после чего такой тип поведения не будет считаться аномальным.

Информация об обнаружениях хранится в журнале событий на Сервере администрирования (вместе с остальными событиями) и в отчете Адаптивный контроль аномалий.

Подробная информация об Адаптивном контроле аномалий, его правилах, их режимах и статусах приведена в справке Kaspersky Endpoint Security для Windows.

Просмотр списка обнаружений, выполненных с помощью правил Адаптивного контроля аномалий

Развернуть все | Свернуть все

Чтобы просмотреть список обнаружений, выполненных с помощью правил Адаптивного контроля аномалий:

1. В дереве консоли выберите требуемый узел Сервера администрирования.
2. Выберите подпапку Правила срабатываний в статусе Интеллектуальное обучение (по умолчанию она находится в папке Дополнительно → Хранилища).

   В списке отображается следующая информация об обнаружении, выполняемая с помощью правил Адаптивного контроля аномалий:

   • Группа администрирования

     Имя группы администрирования, в которую включено устройство.

   • Имя устройства

     Имя клиентского устройства, на котором было применено правило.

   • Имя

     Имя правила, которое было применено.

   • Статус

     Исключение – если администратор обработал это обнаружение и добавил его как исключение из правил. Этот статус остается до тех пор, пока не будет выполнена синхронизация клиентского устройства с Сервером администрирования; после синхронизации обнаружение пропадет из списка.

     Подтверждение – если администратор обработал это обнаружение и подтвердил его. Этот статус остается до тех пор, пока не будет выполнена синхронизация клиентского устройства с Сервером администрирования; после синхронизации обнаружение пропадет из списка.

     Пусто – если администратор не обработал обнаружение.

   • Количество срабатываний для всех правил

     Количество обнаружений одного эвристического правила, одного процесса и одного клиентского устройства. Это количество рассчитано Kaspersky Endpoint Security.

   • Имя пользователя

     Имя пользователя клиентского устройства, запустившего процесс, который сгенерировал обнаружение.

   • Путь исходного процесса

     Путь к исходному процессу, то есть к процессу, выполнившему действие (подобную информацию см. в справке Kaspersky Endpoint Security).

   • Хеш исходного процесса

     Хеш SHA256 исходного файла процесса (подробную информацию см. в справке Kaspersky Endpoint Security).

   • Путь исходного объекта

     Путь к объекту, который запустил процесс (подробную информацию см. в справке Kaspersky Endpoint Security).

   • Хеш исходного объекта

     Хеш SHA256 исходного файла (подробную информацию см. в справке Kaspersky Endpoint Security).

   • Путь целевого процесса

     Путь к целевому процессу (подробную информацию см. в справке Kaspersky Endpoint Security).

   • Хеш целевого процесса

     Хеш SHA256 целевого файла (подробную информацию см. в справке Kaspersky Endpoint Security).

   • Путь целевого объекта

     Путь к целевому объекту (подробную информацию см. в справке Kaspersky Endpoint Security).

   • Хеш целевого объекта

     Хеш SHA256 целевого файла (подробную информацию см. в справке Kaspersky Endpoint Security).

   • Обработан

     Дата обнаружения аномалии.

Чтобы просмотреть свойства каждого элемента:

1. В дереве консоли выберите требуемый узел Сервера администрирования.
2. Выберите подпапку Правила срабатываний в статусе Интеллектуальное обучение (по умолчанию она находится в папке Дополнительно → Хранилища).
3. В рабочей области папки Правила срабатываний в статусе Интеллектуальное обучение выберите нужный объект.
4. Выполните одно из следующих действий:
   • Перейдите по ссылке Свойства в рабочей области в правой части экрана.
   • В контекстном меню объекта выберите пункт Свойства.

В открывшемся окне свойства объекта отображается информация объекта.

Вы можете подтвердить или добавить в исключения любой объект в списке, обнаруженный правилами Адаптивного контроля аномалий.

Чтобы подтвердить объект,

выберите один или несколько элементов в списке обнаружений и нажмите на кнопку Подтвердить.

Статус элементов будет изменен на Подтверждение.

Ваше подтверждение влияет на статистику, используемую правилами (подробную информацию см. в справке Kaspersky Endpoint Security 11 для Windows).

Чтобы добавить объект в исключения,

В контекстном меню объекта (или нескольких объектов) списка обнаружений выберите пункт Добавить в исключения.

В результате запустится мастер добавления исключений. Следуйте инструкциям мастера.

Если вы отклоните или подтвердите объект, он будет исключен из списка обнаружений после следующей синхронизации клиентского устройства с Сервером администрирования и больше не будет отображаться в списке.

Добавление исключений в правила Адаптивного контроля аномалий

Мастер добавления исключений позволяет добавлять исключения из правил Адаптивного контроля аномалий для Kaspersky Endpoint Security.

Вы можете запустить мастер с помощью одного из способов ниже.

Чтобы запустить мастер добавления исключений в папке Адаптивный контроль аномалий:

1. В дереве консоли выберите узел с именем нужного вам Сервера администрирования.
2. Выберите подпапку Правила срабатываний в статусе Интеллектуальное обучение (по умолчанию она находится в папке Дополнительно → Хранилища).
3. В рабочей области в списке обнаружений в контекстном меню объекта (или нескольких объектов) выберите пункт Добавить в исключения.

   За один раз можно добавить до 1000 исключений. Если вы выберете больше элементов и попытаетесь добавить их в исключения, появится сообщение об ошибке.

В результате запустится мастер добавления исключений.

Чтобы запустить мастер добавления исключений из других узлов в дереве консоли:

• Откройте вкладку События главного окна Сервера администрирования, затем выберите Запросы пользователей или Последние события.
• В окне Отчет о состоянии правил Адаптивного контроля аномалий выберите столбец Количество обнаружений.

Шаг 1. Лицензирование приложения

Этот шаг можно пропустить, если у вас есть только приложения Kaspersky Endpoint Security для Windows и нет других приложений, поддерживающих правила Адаптивного контроля аномалий.

Мастер добавления исключений отображает список приложений "Лаборатории Касперского", для которых плагины управления позволяют добавлять исключения к политикам для этих приложений. Выберите приложение из списка и нажмите на кнопку Далее, чтобы продолжить выбор политики, для которой будет добавлено исключение.

Шаг 2. Выбор политики (политик)

Мастер отображает список политик (с профилями политик) для Kaspersky Endpoint Security.

Выберите все политики и профили политик, в которые вы хотите добавить исключения, и нажмите на кнопку Далее.

Шаг 3. Обработка политики (политик)

Мастер отображает ход обработки политики. Вы можете прервать обработку политики, нажав на кнопку Отмена.

Унаследованные политики не могут быть обновлены. Если у вас нет прав на изменение политики, такая политика также не будет обновлена.

Когда все политики обработаны (или обработка политик прервана), создается отчет. Отчет отображает, какие политики были успешно обновлены (зеленый значок), а какие политики не были обновлены (красный значок).

Это последний шаг мастера. Нажмите на кнопку Готово, чтобы завершить работу мастера.