Адаптивный контроль аномалий

для Windows

Компонент Адаптивный контроль аномалий отслеживает и блокирует действия, не характерные для компьютеров в сети организации. Адаптивный контроль аномалий отслеживает нетипичное поведение с помощью набора правил (например, правило Запуск Windows PowerShell из офисного приложения). Правила создаются специалистами "Лаборатории Касперского" на основе типовых сценариев активности вредоносных программ. Вы можете настроить способ обработки каждого правила с помощью Адаптивного контроля аномалий, и, например, разрешить выполнение скриптов PowerShell, которые автоматизируют определенные задачи рабочего процесса. Kaspersky Endpoint Security обновляет набор правил вместе с базами программы.

Настройка Адаптивного контроля аномалий включает следующие шаги.

Обучение Адаптивного контроля аномалий.
После включения Адаптивного контроля аномалий его правила работают в режиме обучения. Во время обучения Адаптивный контроль аномалий отслеживает срабатывание правил и отправляет события срабатывания на сервер. Для каждого правила предусмотрена собственная продолжительность режима обучения. Продолжительность режима обучения определяется экспертами "Лаборатории Касперского". Обычно режим обучения активен в течение двух недель.

Если во время обучения правило ни разу не сработало, Адаптивный контроль аномалий будет считать действия, связанные с этим правилом, нехарактерными. Kaspersky Endpoint Security блокирует все действия, связанные с этим правилом.

Если во время обучения срабатывает правило, Kaspersky Endpoint Security регистрирует соответствующие события в отчете о срабатывании правил и в хранилище обнаружений компонента Адаптивный контроль аномалий.
Анализ отчета о срабатывании правил.
Администратор анализирует отчет о срабатывании правил или содержимое хранилища обнаружений компонента Адаптивный контроль аномалий. Затем администратор может выбрать поведение Адаптивного контроля аномалий при срабатывании правила: блокировать или разрешить. Также администратор может продолжить мониторинг работы правила и увеличить продолжительность режима обучения. Если администратор не предпринимает никаких действий, программа также продолжает работать в режиме обучения. Срок режима обучения перезапускается.

Адаптивный контроль аномалий настраивается в режиме реального времени. Адаптивный контроль аномалий настраивается через следующие каналы.

Адаптивный контроль аномалий автоматически начинает блокировать действия, связанные с правилами, которые никогда не срабатывали в режиме обучения.
Kaspersky Endpoint Security добавляет новые правила или удаляет устаревшие.

После анализа отчета о срабатывании правил и содержимого хранилища обнаружений компонента Адаптивный контроль аномалий администратор настраивает Адаптивный контроль аномалий. Рекомендуется просмотреть отчет о срабатывании правил и содержимое хранилища обнаружений компонента Адаптивный контроль аномалий.

Настройки Адаптивного контроля аномалий для Pro View

Параметр	ОС	Описание
Посмотреть отчет → Состояние правил	`Windows`	Этот отчет содержит информацию о статусе правил обнаружения компонента Адаптивный контроль аномалий (например, Выключено или Блокировать). Отчет генерируется для всех групп администрирования.
Посмотреть отчет → Срабатывания	`Windows`	Этот отчет содержит информацию о необычных действиях, обнаруженных с помощью Адаптивного контроля аномалий. Отчет генерируется для всех групп администрирования.
Правила	`Windows`	Таблица правил компонента Адаптивный контроль аномалий. Правила создаются специалистами "Лаборатории Касперского" на основе типовых сценариев потенциально вредоносной активности. Правила Адаптивного контроля аномалий работают в одном из следующих режимов: Информировать. Программа разрешает действие, подпадающее под правило, и вносит в журнал соответствующую запись. Блокировать. Программа блокирует действие, подпадающее под правило, и вносит в журнал соответствующую запись. Интеллектуальный. Правило работает в статусе Интеллектуальное обучение в течение периода времени, определяемого экспертами "Лаборатории Касперского". В этом режиме при срабатывании правила программа разрешает действие, подпадающее под правило, и регистрирует запись в хранилище обнаружений компонента Адаптивный контроль аномалий. По завершении обучения дальнейшие действия будут разрешаться или блокироваться в зависимости от результатов обучения. Вы можете определить исключения для правил компонента Адаптивный контроль аномалий. Исключение для правила компонента Адаптивный контроль аномалий включает описание исходного и целевого объектов. Исходный объект – это объект, выполняющий действия. Целевой объект – это объект, над которым выполняются действия. Например, вы открыли файл с именем `file.xlsx`. В результате в память компьютера загружается файл библиотеки с расширением DLL. Эта библиотека используется браузером (исполняемый файл с именем `browser.exe`). В этом примере `file.xlsx` – исходный объект, Excel – исходный процесс, `browser.exe` – целевой объект, а браузер – целевой процесс.

Параметр

ОС

Описание

Посмотреть отчет → Состояние правил

Windows

Этот отчет содержит информацию о статусе правил обнаружения компонента Адаптивный контроль аномалий (например, Выключено или Блокировать). Отчет генерируется для всех групп администрирования.

Посмотреть отчет → Срабатывания

Windows

Этот отчет содержит информацию о необычных действиях, обнаруженных с помощью Адаптивного контроля аномалий. Отчет генерируется для всех групп администрирования.

Правила

Windows

Таблица правил компонента Адаптивный контроль аномалий. Правила создаются специалистами "Лаборатории Касперского" на основе типовых сценариев потенциально вредоносной активности.

Правила Адаптивного контроля аномалий работают в одном из следующих режимов:

Информировать.
Программа разрешает действие, подпадающее под правило, и вносит в журнал соответствующую запись.
Блокировать.
Программа блокирует действие, подпадающее под правило, и вносит в журнал соответствующую запись.
Интеллектуальный.
Правило работает в статусе Интеллектуальное обучение в течение периода времени, определяемого экспертами "Лаборатории Касперского". В этом режиме при срабатывании правила программа разрешает действие, подпадающее под правило, и регистрирует запись в хранилище обнаружений компонента Адаптивный контроль аномалий. По завершении обучения дальнейшие действия будут разрешаться или блокироваться в зависимости от результатов обучения.

Вы можете определить исключения для правил компонента Адаптивный контроль аномалий. Исключение для правила компонента Адаптивный контроль аномалий включает описание исходного и целевого объектов. Исходный объект – это объект, выполняющий действия. Целевой объект – это объект, над которым выполняются действия. Например, вы открыли файл с именем file.xlsx. В результате в память компьютера загружается файл библиотеки с расширением DLL. Эта библиотека используется браузером (исполняемый файл с именем browser.exe). В этом примере file.xlsx – исходный объект, Excel – исходный процесс, browser.exe – целевой объект, а браузер – целевой процесс.

В начало