Szenario: Regeln für die Adaptive Kontrolle von Anomalien im Smart-Modus konfigurieren

Die Konfiguration der Regeln für die Adaptive Kontrolle von Anomalien erfolgt schrittweise:

  1. Training

    Nach dem Aktivieren der Adaptiven Kontrolle von Anomalien, befinden sich die Regeln im Smart-Training-Status. Während des Trainings überwacht die Adaptive Kontrolle von Anomalien die Erkennungen der Regel und sendet Ereignisse über Erkennungen an den Server.

    Wenn während des Trainings eine Regel auf einem bestimmten Gerät niemals ausgelöst wird, betrachtet die Adaptive Kontrolle von Anomalien die mit dieser Regel verbundenen Vorgänge als untypisch. Kaspersky Next blockiert alle Aktionen, die mit dieser Regel auf diesem Gerät verbunden sind.

    Wenn während des Trainings eine Regel ausgelöst wird, fügt Kaspersky Next die Ereignisse zum Bericht über Erkennungen und dem Repository Erkennungen durch Regeln der adaptiven Kontrolle von Anomalien der Quarantäne hinzu.

  2. Verarbeitung der Liste mit Erkennungen

    Analysieren Sie die Liste mit Erkennungen im Repository Erkennungen durch Regeln der adaptiven Kontrolle von Anomalien. Führen Sie für jede Erkennung eine der folgenden Aktionen aus:

    • Wenn die Erkennung nicht untypisch ist, fügen Sie diese den Ausnahmen hinzu. Als Ergebnis werden diese Erkennung und alle Erkennungen desselben Objekts auf weiteren Geräten aus der Liste entfernt. Dieses Objekt wird anschließend auf keinem der Geräte Ihrer Benutzer mehr erkannt.

      Sie können allen Regeln maximal 1.000 Ausnahmen hinzufügen.

    • Wenn die Erkennung tatsächlich untypisch ist, bestätigen Sie diese. Daraufhin wird die Erkennung aus der Liste der Geräte gelöscht. Wenn dieses Objekt anschließend auf demselben oder einem weiteren Gerät erneut gefunden wird, wird es wieder in der Liste mit Erkennungen angezeigt.

Jede Regel hat ihre eigene Trainingsdauer, die von Kaspersky-Experten festgelegt wird. Normalerweise dauert das Training zwei Wochen. Die Trainingszeit wird für jedes Gerät separat und nur dann gezählt, wenn Kaspersky Endpoint Security für Windows auf dem Gerät ausgeführt wird. Wenn das Training auf einem Gerät beispielsweise eine Woche gedauert hat und das Gerät anschließend einen Monat lang ausgeschaltet ist, beginnt die zweite Trainingswoche erst, wenn das Gerät wieder eingeschaltet wird.

Das Training für eine Regel auf einem Gerät endet, wenn während der Trainingsdauer keine unverarbeiteten Erkennungen vorliegen. Aus diesem Grund wird es empfohlen, die Erkennungen mindestens einmal pro Woche zu verarbeiten.

Nach oben