对于 Windows
自适应异常控制组件会监视并阻止不是公司网络内计算机典型操作的相关操作。自适应异常控制使用一组规则来跟踪非典型行为(例如,“从 Office 应用程序启动 Microsoft PowerShell”规则)。规则由 Kaspersky 专家根据恶意活动的典型情景创建。您可以配置自适应异常控制如何处理每个规则,例如允许执行自动处理某些工作流任务的 PowerShell 脚本。Kaspersky Endpoint Security 会同时更新规则集和应用程序数据库。
配置“自适应异常控制”包括以下步骤:
启用“自适应异常控制”后,其规则在训练模式下工作。在训练期间,自适应异常控制会监控规则触发并将触发事件发送到服务器。每条规则都有自己的训练模式持续时间。训练模式持续时间由 Kaspersky 专家设置。通常,训练模式保持活动两周。
如果在训练期间某条规则完全未触发,“自适应异常控制”会将与此规则关联的操作视为非典型操作。Kaspersky Endpoint Security 将阻止与该规则相关的所有操作。
如果在训练期间触发规则,Kaspersky Endpoint Security 会在规则触发报告和自适应异常控制检测存储中记录事件日志。
管理员分析规则触发报告或自适应异常控制检测存储中的内容。然后管理员可以选择在触发规则时“自适应异常控制”的行为:阻止或允许。管理员还可以继续监控规则的工作方式并延长训练模式的持续时间。如果管理员未采取任何操作,应用程序也将继续在训练模式下工作。训练模式期限重新开始。
“自适应异常控制”为实时配置。“自适应异常控制”通过以下通道配置:
Pro View 的自适应异常控制设置
参数 |
操作系统 |
描述 |
---|---|---|
查看报告 → 规则状态 |
|
该报告包含有关自适应异常控制检测规则状态的信息(例如,“已禁用”或“阻止”)。该报告针对所有管理组生成。 |
查看报告 → 检测 |
|
该报告包含使用“自适应异常控制”检测到的非典型操作的相关信息。该报告针对所有管理组生成。 |
规则 |
|
自适应异常控制规则表。规则由 Kaspersky 专家根据疑似恶意活动的典型情景创建。 自适应异常控制规则在以下其中一种模式下运行:
您可以定义自适应异常控制规则的排除项。自适应异常控制规则的排除项包括源对象和目标对象的说明。源对象是执行操作的对象。目标对象是被执行操作的对象。例如,您打开了一个名为 |