Adaptív Anomáliafelügyelő
Ez az összetevő akkor használható, ha a Kaspersky Endpoint Security alkalmazás telepítése munkaállomásokra szánt Microsoft Windows rendszert futtató számítógépre történt. Ez az összetevő nem használható, ha a Kaspersky Endpoint Security alkalmazás kiszolgálókra szánt Windows rendszert futtató számítógépre van telepítve.
Az Adaptív Anomáliafelügyelő összetevő megfigyeli és letiltja azokat a tevékenységeket, amelyek nem megszokottak a cég hálózatán található számítógépeken. Az Adaptív Anomáliafelügyelő egy szabálycsoport alapján követi nyomon a nem jellemző viselkedést (például a Microsoft PowerShell indítása egy Office-alkalmazásból szabályt). A szabályokat a Kaspersky szakemberei állították össze a rosszindulatú tevékenységek tipikus forgatókönyvei alapján. Konfigurálhatja, hogy az Adaptív Anomáliafelügyelő miként kezelje az egyes szabályokat és engedélyezheti olyan PowerShell szkriptek végrehajtását, amelyek bizonyos feladatokat automatizálnak. A Kaspersky Endpoint Security az alkalmazás adatbázisával együtt frissíti a szabálycsoportokat. A szabálycsoportok frissítését manuálisan kell megerősíteni.
Az Adaptív Anomáliafelügyelő beállításai
Az Adaptív Anomáliafelügyelő beállításai a következő lépésekből állnak:
- Az Adaptív Anomáliafelügyelő betanítása.
Miután engedélyezte az Adaptív Anomáliafelügyelőt, a szabályok tanuló módban vannak. A tanulás során az Adaptív Anomáliafelügyelő nyomon követi a szabályok végrehajtását kiváltó tevékenységeket és eseményriasztásokat küld a Kaspersky Security Center részére. Minden szabálynak megvan a saját tanulási ideje. A tanulási mód időtartamát a Kaspersky szakemberei határozták meg. Normális esetben a tanulási mód két hétig aktív.
Ha egy szabály betartását a tanulási időszak során egyszer se váltották ki, akkor az Adaptív Anomáliafelügyelő az adott szabályhoz kapcsolódó tevékenységeket gyanúsnak fogja minősíteni. A Kaspersky Endpoint Security le fog tiltani az adott szabályhoz kapcsolódó minden tevékenységet.
Ha egy szabály végrehajtását kiváltották a tanulási időszakban, akkor a Kaspersky Endpoint Security naplóbejegyzést készít az eseményekről a szabálykiváltó jelentésben és a Triggering of rules in Smart Training state gyűjteményben.
- A szabálykiváltó jelentés értelmezése.
A szabálykiváltó jelentést vagy a Triggering of rules in Smart Training state gyűjteményt a rendszergazdának kell értelmezni. A rendszergazda ezt követően kiválaszthatja az Adaptív Anomáliafelügyelő viselkedését az adott helyzetben, hogy blokkolja vagy engedélyezi a szabály betartását. A rendszergazda emellett folyamatosan nyomon követheti az adott szabály működését és kibővítheti a tanulási mód időtartamát. Ha a rendszergazda nem tesz semmit, az alkalmazás továbbra is tanulási módban fog működni. Az útmutató mód feltételek újraindultak.
Az Adaptív Anomáliafelügyelő konfigurálása valós időben történik. Az Adaptív Anomáliafelügyelő konfigurálása a következő csatornákon történik:
- Az Adaptív Anomáliafelügyelő automatikusan letiltja vagy engedélyezi a szabályokhoz társított tevékenységeket, amelyek nem lettek kiváltva tanulási módban.
- A Kaspersky Endpoint Security új szabályokat ad hozzá és eltávolítja az elavultakat.
- A rendszergazda azt követően konfigurálja az Adaptív Anomáliafelügyelő működését, hogy áttekintette a szabálykiváltó jelentést és a Triggering of rules in Smart Training state gyűjtemény tartalmát. Javasoljuk, hogy ellenőrizze a szabálykiváltó jelentést és a Triggering of rules in Smart Training state gyűjtemény tartalmát.
Amikor egy rosszindulatú alkalmazás megpróbál műveletet végrehajtani, a Kaspersky Endpoint Security letiltja a műveletet és értesítést jelenít meg (lásd az alábbi ábrát).
Adaptív Anomáliafelügyeleti értesítés
Adaptive Anomaly Control operating algorithm
A Kaspersky Endpoint Security a következő algoritmus alapján dönti el, hogy engedélyezze vagy letiltsa az adott szabályhoz társított műveletet (lásd az alábbi ábrán).
Adaptive Anomaly Control operating algorithm
Adaptive Anomaly Control component settings
Paraméter |
Leírás |
|---|---|
Report on Adaptive Anomaly Control rules state (csak a Kaspersky Security Center konzolon érhető el) |
Ez a jelentés az Adaptív Anomáliafelügyelő észlelései szabályainak állapotáról tartalmaz információkat (például Letiltva vagy Blokkolva). A jelentés minden rendszergazdai csoport számára létrejön. |
Jelentés az Adaptív Anomáliafelügyelő aktívan alkalmazott szabályairól (csak a Kaspersky Security Center konzolon érhető el) |
Ez a jelentés tartalmazza az Adaptív Anomáliafelügyelő által észlelt gyanús tevékenységek információit. A jelentés minden rendszergazdai csoport számára létrejön. |
Szabályok |
Adaptív Anomáliafelügyeleti szabályok táblázata A szabályokat a Kaspersky szakemberei hozták létre, a potenciálisan kártékony tevékenységek jellemző forgatókönyvei alapján. |
Sablonok |
Üzenet a blokkolásról. Üzenetsablon, ami akkor jelenik meg a felhasználónak, amikor aktiválódik az Adaptív Anomáliafelügyelő egy olyan szabálya, amely blokkolja a gyanús tevékenységet. Üzenet a rendszergazdának. Üzenetsablon a felhasználó számára, ami t a felhasználó a helyi hálózat rendszergazdája részére tud küldeni abban az esetben, ha a művelet letiltása szerinte téves döntés volt. Miután a felhasználó hozzáférést kér, a Kaspersky Endpoint Security eseményt küld a Kaspersky Security Center számára: Alkalmazástevékenység blokkolásáról szóló üzenet a rendszergazdának. Az esemény leírása egy üzenetet tartalmaz a rendszergazdának behelyettesített változókkal. Ezeket az eseményeket a Kaspersky Security Center konzolján tekintheti meg az előre meghatározott User requests eseményválasztással. Ha a vállalatnál nincs telepítve a Kaspersky Security Center, vagy nincs kapcsolat a Felügyeleti kiszolgálóval, az alkalmazás üzenetet küld a rendszergazdának a megadott e-mail-címre. |