自适应异常控制

对于 Windows

自适应异常控制组件会监视并阻止不是公司网络内计算机典型操作的相关操作。自适应异常控制使用一组规则来跟踪非典型行为(例如,“从 Office 应用程序启动 Microsoft PowerShell”规则)。规则由 Kaspersky 专家根据恶意活动的典型情景创建。您可以配置自适应异常控制如何处理每个规则,例如允许执行自动处理某些工作流任务的 PowerShell 脚本。Kaspersky Endpoint Security 会同时更新规则集和应用程序数据库。

配置“自适应异常控制”包括以下步骤:

  1. 训练“自适应异常控制”。

    启用“自适应异常控制”后,其规则在训练模式下工作。在训练期间,自适应异常控制会监控规则触发并将触发事件发送到服务器。每条规则都有自己的训练模式持续时间。训练模式持续时间由 Kaspersky 专家设置。通常,训练模式保持活动两周。

    如果在训练期间某条规则完全未触发,“自适应异常控制”会将与此规则关联的操作视为非典型操作。Kaspersky Endpoint Security 将阻止与该规则相关的所有操作。

    如果在训练期间触发规则,Kaspersky Endpoint Security 会在规则触发报告和自适应异常控制检测存储中记录事件日志。

  2. 分析规则触发报告。

    管理员分析规则触发报告或自适应异常控制检测存储中的内容。然后管理员可以选择在触发规则时“自适应异常控制”的行为:阻止或允许。管理员还可以继续监控规则的工作方式并延长训练模式的持续时间。如果管理员未采取任何操作,应用程序也将继续在训练模式下工作。训练模式期限重新开始。

“自适应异常控制”为实时配置。“自适应异常控制”通过以下通道配置:

页面顶部