적응형 이상 행위 제어
이 구성 요소는 Kaspersky Endpoint Security가 워크스테이션용 Windows에서 실행 중인 컴퓨터에 설치되어 있는 경우 사용할 수 있습니다. 이 구성 요소는 Kaspersky Endpoint Security가 서버용 Windows에서 실행 중인 컴퓨터에 설치되어 있는 경우 사용할 수 없습니다.
적응형 이상 행위 제어 구성 요소는 회사 네트워크의 컴퓨터에서 일반적이지 않은 활동을 감시하고 차단합니다. 적응형 이상 행위 제어는 일련의 규칙을 사용하여 비정상적인 동작을 추적합니다(예, 오피스 애플리케이션에서 Windows PowerShell 시작 규칙). 규칙은 Kaspersky 전문가가 일반적인 악의적인 활동 시나리오를 기반으로 작성합니다. 적응형 이상 행위 제어에서 각 규칙을 처리하는 방법을 구성할 수 있습니다. 예, 특정 워크플로 작업을 자동화하는 PowerShell 스크립트를 실행할 수 있게 허용. Kaspersky Endpoint Security는 규칙 세트와 애플리케이션 데이터베이스를 업데이트합니다. 규칙 세트에 대한 업데이트를 직접 확인해야 합니다.
적응형 이상 행위 제어 설정
적응형 이상 행위 제어의 구성은 다음 단계로 구성됩니다:
- 적응형 이상 행위 제어 학습.
적응형 이상 행위 제어를 활성화하면 해당 규칙은 학습 모드로 작동합니다. 학습하는 동안 적응형 이상 행위 제어는 규칙 트리거링을 모니터링하고 트리거링 이벤트를 Kaspersky Security Center로 전송합니다. 각 규칙은 개별적으로 학습 모드 지속 시간을 갖습니다. 학습 모드 지속 시간은 Kaspersky 전문가가 설정합니다. 일반적으로 학습 모드는 2주 동안 진행됩니다.
학습 중에 규칙이 전혀 트리거되지 않은 경우 적응형 이상 행위 제어는 이후 이 규칙과 관련된 작업을 일반적이지 않은 것으로 간주합니다. Kaspersky Endpoint Security는 해당 규칙과 관련된 모든 작업을 차단합니다.
학습 중에 규칙이 트리거되면 Kaspersky Endpoint Security는 규칙 트리거링 리포트 및 스마트 학습 상태 중에 탐지된 규칙 트리거링 저장소에 이벤트를 기록합니다.
- 규칙 트리거링 리포트 분석.
관리자는 규칙 트리거링 리포트 또는 스마트 학습 상태 중에 탐지된 규칙 트리거링 저장소의 내용을 분석합니다. 그런 다음 관리자는 규칙이 트리거될 때 적응형 이상 행위 제어의 동작을 선택할 수 있습니다: 차단 또는 허용. 또한 관리자는 규칙의 작동 방식을 계속 모니터링하고 학습 모드의 기간을 연장할 수 있습니다. 관리자가 아무런 조치를 취하지 않으면 애플리케이션도 학습 모드에서 계속 작동합니다. 학습 모드 기간이 재시작되었습니다.
적응형 이상 행위 제어가 실시간으로 구성됩니다. 적응형 이상 행위 제어는 다음 채널을 통해 구성됩니다:
- 적응형 이상 행위 제어는 학습 모드에서 트리거되지 않은 규칙과 관련된 작업을 자동으로 차단하기 시작합니다.
- Kaspersky Endpoint Security는 새 규칙을 추가하거나 오래된 규칙을 제거합니다.
- 관리자는 규칙 트리거링 리포트와 스마트 학습 상태 중에 탐지된 규칙 트리거링 저장소의 내용을 검토한 후 적응형 이상 행위 제어의 작업을 구성합니다. 규칙 트리거링 리포트와 스마트 학습 상태 중에 탐지된 규칙 트리거링 저장소의 내용을 확인하는 것이 좋습니다.
악성 애플리케이션이 동작을 수행하려고 하면 Kaspersky Endpoint Security가 해당 동작을 차단하고 알림을 표시합니다(아래 그림 참조).
적응형 이상 행위 제어 알림
적응형 이상 행위 제어 운영 알고리즘
Kaspersky Endpoint Security는 다음 알고리즘을 기반으로 한 규칙과 연관된 동작을 허용할지 또는 차단할지 결정합니다(아래 그림 참조).
적응형 이상 행위 제어 운영 알고리즘