適用於 Windows
自適應異常控制元件會監控並阻止公司網絡中電腦的異常操作。自適應異常控制會使用規則組合來追蹤異常行為,例如:「從 Office 應用程式啟動 Microsoft PowerShell」規則。這些規則由卡巴斯基專家根據惡意活動的常見實例建立。您可以設定自適應異常控制處理每項規則的方式,例如允許自動執行部分工作流程的 PowerShell 指令碼。Kaspersky Endpoint Security 中的規則會與應用程式資料庫同時更新。
設定自適應異常控制包括以下步驟:
啟用自適應異常控制後,其規則將在「訓練模式」下運作。在訓練期間,自適應異常控制會監控規則觸發情況,並將相關事件傳送至伺服器。每項規則的訓練模式都有指定的持續時間。訓練模式的持續時間是由卡巴斯基專家設定。通常情況下,訓練模式會持續兩個星期。
如果某項規則在訓練期間完全未被觸發,自適應異常控制會將與此規則關聯的操作視為異常。Kaspersky Endpoint Security 會阻止與此規則關聯的所有操作。
如果規則在訓練期間被觸發,Kaspersky Endpoint Security 會在規則觸發報告和自適應異常控制偵測儲存庫中記錄事件。
管理員會分析規則觸發報告,或檢視自適應異常控制偵測儲存庫的內容。然後,管理員可以選擇觸發規則時自適應異常控制的操作:阻止或允許。管理員還可以繼續監控規則的運作,以及延長培訓模式的持續時間。如果管理員不採取任何行動,應用程式也將繼續以訓練模式運作。訓練模式週期已重新啟動。
自適應異常控制會即時進行設定。自適應異常控制可透過以下方式進行設定:
Pro View的自適應異常控制設定
參數 |
作業系統 |
描述 |
---|---|---|
檢視報告→規則狀態 |
|
此報告包含自適應異常控制偵測規則的狀態資訊(例如,「已停用」或「封鎖」)。此報告涵蓋所有管理群組。 |
檢視報告→偵測結果 |
|
此報告包含由自適應異常控制偵測到的異常行為資訊。此報告涵蓋所有管理群組。 |
規則 |
|
自適應異常控制規則一覽。這些規則由卡巴斯基專家根據潛在惡意活動的常見實例建立。 自適應異常控制規則均採用以下其中一種模式:
您可以為自適應異常控制規則指定排除項目。自適應異常控制規則的排除項目包括來源物件及目標物件的描述。來源物件是執行操作的物件。目標物件是執行操作的對象。例如,您開啟了一個名為 |