實例:在「智能」模式設定自適應異常控制規則

分階段設定自適應異常控制規則:

  1. 訓練

    啟用自適應異常控制後,其規則將處於「智能訓練」狀態。在訓練期間,自適應異常控制規則將進行偵測,並將偵測到的事件傳送到伺服器。

    如果在訓練期間某裝置上沒有觸發任何規則,自適應異常控制會將與此規則關聯的操作視為異常。Kaspersky Next 將阻止該裝置上與此規則關聯的所有操作。

    如果在訓練期間觸發規則,Kaspersky Next 會將事件新增至偵測報告,以及隔離區的「自適應異常控制規則檢測」儲存庫。

  2. 處理偵測列表

    分析自適應異常控制規則檢測儲存庫中的偵測列表。請就每次偵測執行以下其中一項操作:

    • 如果偵測結果正常,請將其新增至排除項目。然後,此偵測結果以及其他裝置上對相同物件的所有偵測結果都會從列表中移除。稍後,您的任何用戶裝置都不會再偵測到該物件。

      您可以為所有規則新增多達 1000 個排除項目。

    • 如果偵測結果異常,請確認。然後,該偵測結果將從列表中移除。稍後,如果同一裝置或任何其他裝置再次偵測到該物件,有關檢查結果將再次在偵測列表中出現。

每項規則都有各自的訓練持續時間,有關時間由 Kaspersky 專家設定。在一般情況下,該訓練將持續兩星期。訓練時間只會在 Kaspersky Endpoint Security for Windows 於裝置上執行時針對每部裝置個別計算。舉例而言,如果裝置上的訓練持續了一星期,然後該裝置關閉了一個月,第二星期的訓練週只會在裝置再次開啟時開始。

如果裝置在訓練期間沒有待處理的偵測,規則訓練將會結束。因此我們建議您至少每星期處理偵測一次。

頁首