Adaptív Anomáliafelügyelő

Ez az összetevő akkor használható, ha a Kaspersky Endpoint Security alkalmazás telepítése munkaállomásokra szánt Microsoft Windows rendszert futtató számítógépre történt. Ez az összetevő nem használható, ha a Kaspersky Endpoint Security alkalmazás kiszolgálókra szánt Windows rendszert futtató számítógépre van telepítve.

Az Adaptív Anomáliafelügyelő összetevő megfigyeli és letiltja azokat a tevékenységeket, amelyek nem megszokottak a cég hálózatán található számítógépeken. Az Adaptív Anomáliafelügyelő egy szabálycsoport alapján követi nyomon a nem jellemző viselkedést (például a Microsoft PowerShell indítása egy Office-alkalmazásból szabályt). A szabályokat a Kaspersky szakemberei állították össze a rosszindulatú tevékenységek tipikus forgatókönyvei alapján. Konfigurálhatja, hogy az Adaptív Anomáliafelügyelő miként kezelje az egyes szabályokat és engedélyezheti olyan PowerShell szkriptek végrehajtását, amelyek bizonyos feladatokat automatizálnak. A Kaspersky Endpoint Security az alkalmazás adatbázisával együtt frissíti a szabálycsoportokat. A szabálycsoportok frissítését manuálisan kell megerősíteni.

Az Adaptív Anomáliafelügyelő beállításai

Az Adaptív Anomáliafelügyelő beállításai a következő lépésekből állnak:

  1. Az Adaptív Anomáliafelügyelő betanítása.

    Miután engedélyezte az Adaptív Anomáliafelügyelőt, a szabályok tanuló módban vannak. A tanulás során az Adaptív Anomáliafelügyelő nyomon követi a szabályok végrehajtását kiváltó tevékenységeket és eseményriasztásokat küld a Kaspersky Security Center részére. Minden szabálynak megvan a saját tanulási ideje. A tanulási mód időtartamát a Kaspersky szakemberei határozták meg. Normális esetben a tanulási mód két hétig aktív.

    Ha egy szabály betartását a tanulási időszak során egyszer se váltották ki, akkor az Adaptív Anomáliafelügyelő az adott szabályhoz kapcsolódó tevékenységeket gyanúsnak fogja minősíteni. A Kaspersky Endpoint Security le fog tiltani az adott szabályhoz kapcsolódó minden tevékenységet.

    Ha egy szabály végrehajtását kiváltották a tanulási időszakban, akkor a Kaspersky Endpoint Security naplóbejegyzést készít az eseményekről a szabálykiváltó jelentésben és a Triggering of rules in Smart Training state gyűjteményben.

  2. A szabálykiváltó jelentés értelmezése.

    A szabálykiváltó jelentést vagy a Triggering of rules in Smart Training state gyűjteményt a rendszergazdának kell értelmezni. A rendszergazda ezt követően kiválaszthatja az Adaptív Anomáliafelügyelő viselkedését az adott helyzetben, hogy blokkolja vagy engedélyezi a szabály betartását. A rendszergazda emellett folyamatosan nyomon követheti az adott szabály működését és kibővítheti a tanulási mód időtartamát. Ha a rendszergazda nem tesz semmit, az alkalmazás továbbra is tanulási módban fog működni. Az útmutató mód feltételek újraindultak.

Az Adaptív Anomáliafelügyelő konfigurálása valós időben történik. Az Adaptív Anomáliafelügyelő konfigurálása a következő csatornákon történik:

Amikor egy rosszindulatú alkalmazás megpróbál műveletet végrehajtani, a Kaspersky Endpoint Security letiltja a műveletet és értesítést jelenít meg (lásd az alábbi ábrát).

Adaptív Anomáliafelügyeleti értesítés

Adaptive Anomaly Control operating algorithm

A Kaspersky Endpoint Security a következő algoritmus alapján dönti el, hogy engedélyezze vagy letiltsa az adott szabályhoz társított műveletet (lásd az alábbi ábrán).

Adaptive Anomaly Control operating algorithm

Adaptive Anomaly Control component settings

Paraméter

Leírás

Report on Adaptive Anomaly Control rules state

(csak a Kaspersky Security Center konzolon érhető el)

Ez a jelentés az Adaptív Anomáliafelügyelő észlelései szabályainak állapotáról tartalmaz információkat (például Letiltva vagy Blokkolva). A jelentés minden rendszergazdai csoport számára létrejön.

Jelentés az Adaptív Anomáliafelügyelő aktívan alkalmazott szabályairól

(csak a Kaspersky Security Center konzolon érhető el)

Ez a jelentés tartalmazza az Adaptív Anomáliafelügyelő által észlelt gyanús tevékenységek információit. A jelentés minden rendszergazdai csoport számára létrejön.

Szabályok

Adaptív Anomáliafelügyeleti szabályok táblázata A szabályokat a Kaspersky szakemberei hozták létre, a potenciálisan kártékony tevékenységek jellemző forgatókönyvei alapján.

Sablonok

Üzenet a blokkolásról. Üzenetsablon, ami akkor jelenik meg a felhasználónak, amikor aktiválódik az Adaptív Anomáliafelügyelő egy olyan szabálya, amely blokkolja a gyanús tevékenységet.

Üzenet a rendszergazdának. Üzenetsablon a felhasználó számára, ami t a felhasználó a helyi hálózat rendszergazdája részére tud küldeni abban az esetben, ha a művelet letiltása szerinte téves döntés volt. Miután a felhasználó hozzáférést kér, a Kaspersky Endpoint Security eseményt küld a Kaspersky Security Center számára: Alkalmazástevékenység blokkolásáról szóló üzenet a rendszergazdának. Az esemény leírása egy üzenetet tartalmaz a rendszergazdának behelyettesített változókkal. Ezeket az eseményeket a Kaspersky Security Center konzolján tekintheti meg az előre meghatározott User requests eseményválasztással. Ha a vállalatnál nincs telepítve a Kaspersky Security Center, vagy nincs kapcsolat a Felügyeleti kiszolgálóval, az alkalmazás üzenetet küld a rendszergazdának a megadott e-mail-címre.

Lásd: Az alkalmazás helyi felületről történő kezelése

Az Adaptív Anomáliafelügyelő engedélyezése és letiltása

Adaptív Anomáliafelügyeleti szabály engedélyezése és letiltása

Az Adaptív Anomáliafelügyeleti szabály kiváltásakor végrehajtott művelet módosítása

Kizárás létrehozása Adaptív Anomáliafelügyeleti szabályhoz

Kizárások exportálása és importálása az Adaptív Anomáliafelügyeleti szabályokhoz

Az Adaptív Anomáliafelügyeleti szabályok frissítéseinek alkalmazása

Adaptív Anomáliafelügyelő üzenetsablonok szerkesztése

Az Adaptív Anomáliafelügyelő jelentéseinek megtekintése

Oldal tetejére