自适应异常控制

对于 Windows

自适应异常控制组件会监视并阻止不是公司网络内计算机典型操作的相关操作。自适应异常控制使用一组规则来跟踪非典型行为（例如，“从 Office 应用程序启动 Microsoft PowerShell”规则）。规则由 Kaspersky 专家根据恶意活动的典型情景创建。您可以配置自适应异常控制如何处理每个规则，例如允许执行自动处理某些工作流任务的 PowerShell 脚本。Kaspersky Endpoint Security 会同时更新规则集和应用程序数据库。

配置“自适应异常控制”包括以下步骤：

1. 训练“自适应异常控制”。

   启用“自适应异常控制”后，其规则在训练模式下工作。在训练期间，自适应异常控制会监控规则触发并将触发事件发送到服务器。每条规则都有自己的训练模式持续时间。训练模式持续时间由 Kaspersky 专家设置。通常，训练模式保持活动两周。

   如果在训练期间某条规则完全未触发，“自适应异常控制”会将与此规则关联的操作视为非典型操作。Kaspersky Endpoint Security 将阻止与该规则相关的所有操作。

   如果在训练期间触发规则，Kaspersky Endpoint Security 会在规则触发报告和自适应异常控制检测存储中记录事件日志。

2. 分析规则触发报告。

   管理员分析规则触发报告或自适应异常控制检测存储中的内容。然后管理员可以选择在触发规则时“自适应异常控制”的行为：阻止或允许。管理员还可以继续监控规则的工作方式并延长训练模式的持续时间。如果管理员未采取任何操作，应用程序也将继续在训练模式下工作。训练模式期限重新开始。

“自适应异常控制”为实时配置。“自适应异常控制”通过以下通道配置：

• “自适应异常控制”自动开始阻止与从未在训练模式中触发的规则相关联的操作。
• Kaspersky Endpoint Security 添加新规则或删除过时规则。
• 管理员在分析规则触发报告和自适应异常控制检测存储的内容后，配置自适应异常控制。建议查看规则触发报告和自适应异常控制检测存储的内容。

  Pro View 的自适应异常控制设置

  参数	操作系统	描述
  查看报告 → 规则状态	Windows	该报告包含有关自适应异常控制检测规则状态的信息（例如，“已禁用”或“阻止”）。该报告针对所有管理组生成。
  查看报告 → 检测	Windows	该报告包含使用“自适应异常控制”检测到的非典型操作的相关信息。该报告针对所有管理组生成。
  规则	Windows	自适应异常控制规则表。规则由 Kaspersky 专家根据疑似恶意活动的典型情景创建。 自适应异常控制规则在以下其中一种模式下运行： 通知。 应用程序允许规则涵盖的活动并记录相应的日志条目。 阻止。 应用程序阻止规则涵盖的活动并记录相应的日志条目。 智能。 该规则在智能培训状态下运行一段时间，该时间由卡巴斯基专家定义。在此模式下，当规则被触发时，应用程序将允许规则涵盖的活动，并在自适应异常控制检测存储中记录一个条目。完成培训后，将根据培训结果允许或阻止进一步的操作。 您可以定义自适应异常控制规则的排除项。自适应异常控制规则的排除项包括源对象和目标对象的说明。源对象是执行操作的对象。目标对象是被执行操作的对象。例如，您打开了一个名为 file.xlsx 的文件。结果，一个带 DLL 扩展名的库文件加载到计算机内存中。该库被浏览器（名为 browser.exe 的可执行文件）使用。在此示例中，file.xlsx 是源对象，Excel 是源进程，browser.exe 是目标对象，Browser 是目标进程。

页面顶部