自適應異常控制

適用於 Windows

自適應異常控制元件會監控並阻止公司網絡中電腦的異常操作。自適應異常控制會使用規則組合來追蹤異常行為，例如：「從 Office 應用程式啟動 Microsoft PowerShell」規則。這些規則由卡巴斯基專家根據惡意活動的常見實例建立。您可以設定自適應異常控制處理每項規則的方式，例如允許自動執行部分工作流程的 PowerShell 指令碼。Kaspersky Endpoint Security 中的規則會與應用程式資料庫同時更新。

設定自適應異常控制包括以下步驟：

1. 訓練自適應異常控制

   啟用自適應異常控制後，其規則將在「訓練模式」下運作。在訓練期間，自適應異常控制會監控規則觸發情況，並將相關事件傳送至伺服器。每項規則的訓練模式都有指定的持續時間。訓練模式的持續時間是由卡巴斯基專家設定。通常情況下，訓練模式會持續兩個星期。

   如果某項規則在訓練期間完全未被觸發，自適應異常控制會將與此規則關聯的操作視為異常。Kaspersky Endpoint Security 會阻止與此規則關聯的所有操作。

   如果規則在訓練期間被觸發，Kaspersky Endpoint Security 會在規則觸發報告和自適應異常控制偵測儲存庫中記錄事件。

2. 分析規則觸發報告。

   管理員會分析規則觸發報告，或檢視自適應異常控制偵測儲存庫的內容。然後，管理員可以選擇觸發規則時自適應異常控制的操作：阻止或允許。管理員還可以繼續監控規則的運作，以及延長培訓模式的持續時間。如果管理員不採取任何行動，應用程式也將繼續以訓練模式運作。訓練模式週期已重新啟動。

自適應異常控制會即時進行設定。自適應異常控制可透過以下方式進行設定：

• 凡在訓練模式期間未曾觸發的規則，自適應異常控制會自動開始阻止與其關聯的操作。
• Kaspersky Endpoint Security 亦會新增規則或移除過時的規則。
• 管理員會在分析規則觸發報告和自適應異常控制偵測儲存庫的內容後，對自適應異常控制進行設定。我們建議查看規則觸發報告和自適應異常控制偵測儲存庫的內容。

  Pro View的自適應異常控制設定

  參數	作業系統	描述
  檢視報告→規則狀態	Windows	此報告包含自適應異常控制偵測規則的狀態資訊（例如，「已停用」或「封鎖」）。此報告涵蓋所有管理群組。
  檢視報告→偵測結果	Windows	此報告包含由自適應異常控制偵測到的異常行為資訊。此報告涵蓋所有管理群組。
  規則	Windows	自適應異常控制規則一覽。這些規則由卡巴斯基專家根據潛在惡意活動的常見實例建立。 自適應異常控制規則均採用以下其中一種模式： 通知。 應用程式允許規則所涵蓋的操作，並作出相應記錄。 封鎖。 應用程式封鎖規則所涵蓋的操作，並作出相應記錄。 智能。 規則會在智能訓練狀態下運作一段時間，具體時長由卡巴斯基專家指定。在此模式下，當規則被觸發時，應用程式將允許規則所涵蓋的操作，並在自適應異常控制偵測儲存庫中作出相應紀錄。完成訓練後，系統將根據訓練結果決定允許或封鎖操作。 您可以為自適應異常控制規則指定排除項目。自適應異常控制規則的排除項目包括來源物件及目標物件的描述。來源物件是執行操作的物件。目標物件是執行操作的對象。例如，您開啟了一個名為 file.xlsx 的檔案。結果，副檔名為 DLL 的程式庫檔案被載入到電腦記憶體。該程式庫被瀏覽器（執行檔名為 browser.exe）使用。在此例子中，file.xlsx 是來源物件，Excel 是來源程序，browser.exe 是目標物件，瀏覽器是目標程序。

頁首