Adaptivní kontrola anomálií
Tato součást je dostupná, pokud je aplikace Kaspersky Endpoint Security nainstalovaná v počítači se systémem Windows pro pracovní stanice. Tato součást je nedostupná, pokud je aplikace Kaspersky Endpoint Security nainstalovaná v počítači se systémem Windows pro servery.
Součást Adaptivní kontrola anomálií sleduje a blokuje akce, které nejsou obvyklé pro počítače v podnikové síti. Adaptivní kontrola anomálií používá ke sledování netypického chování sadu pravidel (například pravidlo Spuštění prostředí Microsoft PowerShell z aplikace sady Office). Pravidla vytvářejí odborníci společnosti Kaspersky na základě typických scénářů škodlivé činnosti. Můžete nakonfigurovat, jak součást Adaptivní kontrola anomálií zpracovává každé pravidlo, a povolit například provádění skriptů PowerShell, které automatizují určité úlohy pracovního postupu. Aplikace Kaspersky Endpoint Security aktualizuje sadu pravidel spolu s databázemi aplikací. Aktualizace sad pravidel musí být potvrzeny ručně.
Nastavení součásti Adaptivní kontrola anomálií
Konfigurace součásti Adaptivní kontrola anomálií se skládá z následujících kroků:
- Zkušební režim součásti Adaptivní kontrola anomálií.
Poté, co povolíte součást Adaptivní kontrola anomálií, její pravidla fungují ve zkušebním režimu. Ve zkušebního režimu monitoruje součást Adaptivní kontrola anomálií aktivaci pravidel a odesílá aktivační události do centra Kaspersky Security Center. Každé pravidlo má své vlastní trvání zkušebního režimu. Doba trvání zkušebního režimu je nastavena odborníky společnosti Kaspersky. Obvykle je zkušební režim aktivní dva týdny.
Pokud není během zkušebního režimu nějaké pravidlo aktivováno vůbec, bude součást Adaptivní kontrola anomálií akce spojené s tímto pravidlem považovat za netypické. Aplikace Kaspersky Endpoint Security bude blokovat všechny akce spojené s tímto pravidlem.
Pokud bylo během zkušebního režimu nějaké pravidlo aktivováno, aplikace Kaspersky Endpoint Security zaznamená události do protokolu zpráva o aktivaci pravidel a úložiště Triggering of rules in Smart Training state.
- Analýza zprávy o aktivaci pravidel.
Správce analyzuje zprávu o aktivaci pravidel nebo obsah úložiště Triggering of rules in Smart Training state. Poté může správce zvolit chování součásti Adaptivní kontrola anomálií při aktivaci pravidla: blokovat nebo povolit. Správce může také sledovat, jak pravidlo funguje, a prodloužit dobu trvání zkušebního režimu. Pokud správce neprovede žádnou akci, aplikace bude i nadále fungovat ve zkušebním režimu. Doba zkušebního režimu začne běžet znovu.
Součást Adaptivní kontrola anomálií je konfigurována v reálném čase. Součást Adaptivní kontrola anomálií je konfigurována prostřednictvím následujících kanálů:
- Adaptivní kontrola anomálií automaticky začne blokovat akce spojené s pravidly, která nebyla nikdy spuštěna ve zkušebním režimu.
- Aplikace Kaspersky Endpoint Security přidává nová pravidla nebo odstraňuje zastaralá pravidla.
- Správce konfiguruje činnost součásti Adaptivní kontrola anomálií po kontrole zprávy o aktivaci pravidel a obsahu úložiště Triggering of rules in Smart Training state. Doporučujeme zprávu o aktivaci pravidel a obsah úložiště Triggering of rules in Smart Training state.
Pokud se škodlivá aplikace pokusí provést akci, aplikace Kaspersky Endpoint Security akci zablokuje a zobrazí upozornění (viz obrázek níže).
Oznámení součásti Adaptivní kontrola anomálií
Algoritmus činnosti součásti Adaptivní kontrola anomálií
Aplikace Kaspersky Endpoint Security určí, zda povolit nebo blokovat akci spojenou s pravidlem, na základě následujícího algoritmu (viz obrázek níže).
Algoritmus činnosti součásti Adaptivní kontrola anomálií
Nastavení součásti Adaptivní kontrola anomálií
Parametr |
Popis |
|---|---|
Zpráva o stavu pravidel součásti Adaptivní kontrola anomálií (k dispozici pouze v konzole aplikace Kaspersky Security Center) |
Tato zpráva obsahuje informace o stavu detekčních pravidel součásti Adaptivní kontrola anomálií (například Zakázáno nebo Blokovat). Zpráva je generována pro všechny skupiny pro správu. |
Zpráva o aktivovaných pravidlech součásti Adaptivní kontrola anomálií (k dispozici pouze v konzole aplikace Kaspersky Security Center) |
Tato zpráva obsahuje informace o netypických akcích zjištěných pomocí součásti Adaptivní kontrola anomálií. Zpráva je generována pro všechny skupiny pro správu. |
Pravidla |
Tabulka pravidel součásti Adaptivní kontrola anomálií. Pravidla vytvářejí odborníci společnosti Kaspersky na základě typických scénářů potenciálně škodlivé činnosti. |
Šablony |
Zpráva o blokování. Šablona zprávy, která se zobrazí uživateli, když je spuštěno pravidlo součásti Adaptivní kontrola anomálií, které blokuje netypickou akci. Zpráva správci. Šablona zprávy, kterou uživatel může zaslat správci místní podnikové sítě, pokud považuje blokování za chybu. Poté, co uživatel požádá o poskytnutí přístupu, Kaspersky Endpoint Security odešle událost do aplikace Kaspersky Security Center: Zpráva o blokování aktivity aplikace určená pro správce. Popis události obsahuje zprávu správci s nahrazenými proměnnými. Tyto události můžete zobrazit v konzole aplikace Kaspersky Security Center pomocí předdefinovaného výběru událostí User requests. Pokud vaše organizace nemá nasazenou aplikaci Kaspersky Security Center nebo není k dispozici připojení k serveru pro správu, aplikace odešle zprávu správci na zadanou e-mailovou adresu. |