在「智能」模式下設定自適應異常控制規則的程序

分階段設定自適應異常控制規則：

1. 訓練

   啟用自適應異常控制後，其規則將處於「智能訓練」狀態。在訓練期間，自適應異常控制會監控規則的偵測結果，並將偵測事件傳送到伺服器。

   如果在訓練期間某裝置上沒有觸發任何規則，自適應異常控制會將與此規則關聯的操作視為異常。Kaspersky Next 將阻止該裝置上與此規則關聯的所有操作。

   如果在訓練期間觸發規則，Kaspersky Next 會將事件新增至偵測報告，以及隔離區的「自適應異常控制規則檢測」儲存庫。

2. 處理偵測列表

   分析自適應異常控制規則檢測儲存庫中的偵測列表。對於每項偵測結果，請執行以下其中一項操作：

   • 如果偵測結果正常，請將其新增至排除項目。然後，此偵測結果以及其他裝置上與相同物件有關的所有偵測結果都會從列表中移除。此後，任何使用者裝置都不會再偵測該物件。

     您可以為所有規則新增多達 1000 個排除項目。

   • 如果偵測結果有異常，請進行確認。然後，此偵測結果將從列表中移除。稍後，如果同一裝置或任何其他裝置再次偵測到該物件，有關檢查結果將再次在偵測列表中出現。

每項規則都有其指定的訓練時長，這是由卡巴斯基專家設定。在一般情況下，訓練會持續兩個星期。訓練時間會針對每部裝置個別計算，而且在 Kaspersky Endpoint Security for Windows 於裝置上運行時才會納入計算。舉例而言，如果一部裝置上的訓練持續了一個星期，隨後關機一個月，第二個星期的訓練只會在裝置再次開啟時開始。

如果裝置在訓練期間沒有待處理的偵測，規則訓練將會結束。因此我們建議您至少每個星期處理偵測結果一次。

頁首