自適應異常控制

適用於 Windows

自適應異常控制元件會監控並阻止公司網絡中電腦的異常操作。自適應異常控制會使用規則組合來追蹤異常行為,例如:「從 Office 應用程式啟動 Microsoft PowerShell」規則。這些規則由卡巴斯基專家根據惡意活動的常見實例建立。您可以設定自適應異常控制處理每項規則的方式,例如允許自動執行部分工作流程的 PowerShell 指令碼。Kaspersky Endpoint Security 中的規則會與應用程式資料庫同時更新。

設定自適應異常控制包括以下步驟:

  1. 訓練自適應異常控制

    啟用自適應異常控制後,其規則將在「訓練模式」下運作。在訓練期間,自適應異常控制會監控規則觸發情況,並將相關事件傳送至伺服器。每項規則的訓練模式都有指定的持續時間。訓練模式的持續時間是由卡巴斯基專家設定。通常情況下,訓練模式會持續兩個星期。

    如果某項規則在訓練期間完全未被觸發,自適應異常控制會將與此規則關聯的操作視為異常。Kaspersky Endpoint Security 會阻止與此規則關聯的所有操作。

    如果規則在訓練期間被觸發,Kaspersky Endpoint Security 會在規則觸發報告和自適應異常控制偵測儲存庫中記錄事件。

  2. 分析規則觸發報告。

    管理員會分析規則觸發報告,或檢視自適應異常控制偵測儲存庫的內容。然後,管理員可以選擇觸發規則時自適應異常控制的操作:阻止或允許。管理員還可以繼續監控規則的運作,以及延長培訓模式的持續時間。如果管理員不採取任何行動,應用程式也將繼續以訓練模式運作。訓練模式週期已重新啟動。

自適應異常控制會即時進行設定。自適應異常控制可透過以下方式進行設定:

頁首