適應性異常控制

適用於 Windows

自適應異常控制元件會監視並封鎖不是公司網路內電腦典型操作的相關操作。自適應異常控制使用一組規則來偵錯非典型行為（例如，從 Office 應用程式啟動 Microsoft PowerShell 規則）。規則由 Kaspersky 專家根據惡意活動的典型情景建立。您可以配置“自適應異常控制”處理每條規則的方式，例如，允許執行使某些工作流工作自動化的 PowerShell 指令碼。Kaspersky Endpoint Security 會同時更新規則集和應用程式資料庫。

配置“自適應異常控制”包括以下步驟：

1. 訓練“自適應異常控制”。

   啟用“自適應異常控制”後，其規則在訓練模式下工作。在培訓期間，自適應異常控制會監控規則觸發情況，並將相關事件傳送至伺服器。每條規則都有自己的訓練模式持續時間。訓練模式持續時間由 Kaspersky 專家設定。通常，訓練模式保持活動兩周。

   如果在訓練期間某條規則完全未觸發，“自適應異常控制”會將與此規則關聯的操作視為非典型操作。Kaspersky Endpoint Security 將封鎖與該規則相關的所有操作。

   如果規則在培訓期間被觸發，Kaspersky Endpoint Security 會在規則觸發報告和自適應異常控制偵測儲存庫中記錄事件。

2. 分析規則觸發報告。

   管理員會分析規則觸發報告，或檢視自適應異常控制偵測儲存庫的內容。然後管理員可以選取在觸發規則時“自適應異常控制”的行為：封鎖或允許。管理員還可以繼續監控規則的工作方式並延長訓練模式的持續時間。如果管理員未採取任何操作，應用程式也將繼續在訓練模式下工作。訓練模式期限重新開始。

“自適應異常控制”為即時配置。“自適應異常控制”透過以下通道配置：

• “自適應異常控制”自動開始封鎖與從未在訓練模式中觸發的規則相關聯的操作。
• Kaspersky Endpoint Security 新增新規則或刪除過時規則。
• 管理員會在分析規則觸發報告和自適應異常控制偵測儲存庫的內容後，對自適應異常控制進行設定。我們建議查看規則觸發報告和自適應異常控制偵測儲存庫的內容。

  Pro View 的自適應異常控制設定

  參數	作業系統	描述
  檢視報告 → 規則狀態	Windows	該報告包含有關適應性異常控制偵測規則狀態的資訊（例如，已停用或封鎖）。該報告針對所有管理群組生成。
  檢視報告 → 偵測	Windows	該報告包含使用“適應性異常控制”偵測到的非典型操作的相關資訊。該報告針對所有管理群組生成。
  規則	Windows	適應性異常控制規則表。規則由 Kaspersky 專家根據惡意活動的典型情景建立。 自適應異常控制規則均採用以下其中一種模式： 通知 應用程式允許規則所涵蓋的活動，並作出相應記錄。 封鎖 應用程式封鎖規則所涵蓋的活動，並作出相應記錄。 智慧 規則會在智慧培訓狀態下運作一段時間，具體時長由卡巴斯基專家指定。在此模式下，當規則被觸發時，應用程式將允許規則所涵蓋的操作，並在自適應異常控制偵測儲存庫中作出相應紀錄。完成培訓後，系統將根據培訓結果決定允許或封鎖動作。 您可以為自適應異常控制規則指定排除項目。適應性異常控制規則的排除項目包括來源物件和目的物件的說明。來源物件是執行操作的物件。目的物件是被執行操作的物件。例如，您開啟了一個名為 file.xlsx 的檔案。結果，一個帶 DLL 副檔名的庫檔案載入到電腦記憶體中。該庫被瀏覽器（名為 browser.exe 的可執行檔）使用。在此示例中，file.xlsx 是來源物件，Excel 是來源處理程序，browser.exe 是目的物件，Browser 是目的處理程序。

頁面頂部