Адаптивный контроль аномалий

для Windows

Компонент Адаптивный контроль аномалий отслеживает и блокирует действия, нехарактерные для компьютеров сети организации. Для отслеживания нехарактерных действий Адаптивный контроль аномалий использует набор правил (например, правило Запуск Windows PowerShell из офисного приложения). Правила созданы специалистами "Лаборатории Касперского" на основе типичных сценариев вредоносной активности. Вы можете выбрать поведение Адаптивного контроля аномалий для каждого из правил и, например, разрешить запуск PowerShell-скриптов для автоматизации решения корпоративных задач. Kaspersky Endpoint Security обновляет набор правил с базами приложения.

Настройка Адаптивного контроля аномалий состоит из следующих этапов:

Обучение Адаптивного контроля аномалий.
После включения Адаптивного контроля аномалий правила работают в обучающем режиме. В ходе обучения Адаптивный контроль аномалий отслеживает срабатывание правил и отправляет события срабатывания на сервер. Каждое правило имеет свой срок действия обучающего режима. Срок действия обучающего режима устанавливают специалисты "Лаборатории Касперского". Обычно срок действия обучающего режима составляет 2 недели.

Если в ходе обучения правило ни разу не сработало, Адаптивный контроль аномалий будет считать действия, связанные с этим правилом, нехарактерным. Kaspersky Endpoint Security будет блокировать все действия, связанные с этим правилом.

Если в ходе обучения правило сработало, Kaspersky Endpoint Security регистрирует события в отчете о срабатываниях правил и в хранилище обнаружений Адаптивного контроля аномалий.
Анализ отчета о срабатывании правил.
Администратор анализирует отчет о срабатываниях правил или содержание хранилища обнаружений Адаптивного контроля аномалий. Далее администратор может выбрать поведение Адаптивного контроля аномалий при срабатывании правила: блокировать или разрешить. Также администратор может продолжить отслеживать срабатывание правила и продлить работу приложения в обучающем режиме. Если администратор не предпринимает никаких мер, приложение также продолжит работать в обучающем режиме. Отсчет срока действия обучающего режима начинается заново.

Настройка Адаптивного контроля аномалий происходит в режиме реального времени. Настройка Адаптивного контроля аномалий осуществляется по следующим каналам:

Адаптивный контроль аномалий автоматически начинает блокировать действия, связанные с правилами, которые не сработали в течение обучающего режима.
Kaspersky Endpoint Security добавляет новые правила или удаляет неактуальные.

Администратор настраивает работу Адаптивного контроля аномалий после анализа отчета о срабатывании правил и содержимого хранилища обнаружений Адаптивного контроля аномалий. Рекомендуется проверять отчет о срабатывании правил и содержимое хранилища обнаружений Адаптивного контроля аномалий.

Параметры Адаптивного контроля аномалий для Pro View

Параметр	ОС	Описание
Посмотреть отчет → Состояние правил	`Windows`	В этом отчете содержится информация о статусе правил обнаружения Адаптивного контроля аномалий (например, статусы Выключено или Блокировать). Отчет формируется для всех групп администрирования.
Посмотреть отчет → Срабатывания	`Windows`	В этом отчете содержится информация о нехарактерных действиях, обнаруженных с помощью Адаптивного контроля аномалий. Отчет формируется для всех групп администрирования.
Правила	`Windows`	Таблица правил Адаптивного контроля аномалий. Правила созданы специалистами "Лаборатории Касперского" на основе типичных сценариев вредоносной активности. Правила Адаптивного контроля аномалий работают в одном из следующих режимов: Информировать. Приложение разрешает активность, подпадающую под правило, и создает в журнале соответствующую запись. Блокировать. Приложение блокирует активность, подпадающую под правило, и создает в журнале соответствующую запись. Интеллектуальный. Правило работает в обучающем режиме в течение периода, определенного специалистами "Лаборатории Касперского". В этом режиме при срабатывании правила приложение разрешает активность, подпадающую под это правило, и создает запись в хранилище обнаружений Адаптивного контроля аномалий. По окончании обучения выполняется разрешение или блокировка дальнейших действий в зависимости от результатов обучения. Для правил Адаптивного контроля аномалий вы можете задать исключения. Исключение для правила Адаптивного контроля аномалий включает в себя описание исходных и целевых объектов. Исходный объект – объект, который выполняет действия. Целевой объект – объект, над которым выполняются действия. Например, вы открыли файл `file.xlsx`. В результате в память компьютера была добавлена библиотека с расширением dll, которую использует браузер (исполняемый файл `browser.exe`). В данном примере `file.xlsx` – исходный объект, Excel – исходный процесс, `browser.exe` – целевой объект, Browser – целевой процесс.

Параметр

ОС

Описание

Посмотреть отчет → Состояние правил

Windows

В этом отчете содержится информация о статусе правил обнаружения Адаптивного контроля аномалий (например, статусы Выключено или Блокировать). Отчет формируется для всех групп администрирования.

Посмотреть отчет → Срабатывания

Windows

В этом отчете содержится информация о нехарактерных действиях, обнаруженных с помощью Адаптивного контроля аномалий. Отчет формируется для всех групп администрирования.

Правила

Windows

Таблица правил Адаптивного контроля аномалий. Правила созданы специалистами "Лаборатории Касперского" на основе типичных сценариев вредоносной активности.

Правила Адаптивного контроля аномалий работают в одном из следующих режимов:

Информировать.
Приложение разрешает активность, подпадающую под правило, и создает в журнале соответствующую запись.
Блокировать.
Приложение блокирует активность, подпадающую под правило, и создает в журнале соответствующую запись.
Интеллектуальный.
Правило работает в обучающем режиме в течение периода, определенного специалистами "Лаборатории Касперского". В этом режиме при срабатывании правила приложение разрешает активность, подпадающую под это правило, и создает запись в хранилище обнаружений Адаптивного контроля аномалий. По окончании обучения выполняется разрешение или блокировка дальнейших действий в зависимости от результатов обучения.

Для правил Адаптивного контроля аномалий вы можете задать исключения. Исключение для правила Адаптивного контроля аномалий включает в себя описание исходных и целевых объектов. Исходный объект – объект, который выполняет действия. Целевой объект – объект, над которым выполняются действия. Например, вы открыли файл file.xlsx. В результате в память компьютера была добавлена библиотека с расширением dll, которую использует браузер (исполняемый файл browser.exe). В данном примере file.xlsx – исходный объект, Excel – исходный процесс, browser.exe – целевой объект, Browser – целевой процесс.

В начало