적응형 이상 행위 제어

이 구성 요소는 Kaspersky Endpoint Security가 워크스테이션용 Windows에서 실행 중인 컴퓨터에 설치되어 있는 경우 사용할 수 있습니다. 이 구성 요소는 Kaspersky Endpoint Security가 서버용 Windows에서 실행 중인 컴퓨터에 설치되어 있는 경우 사용할 수 없습니다.

적응형 이상 행위 제어 구성 요소는 회사 네트워크의 컴퓨터에서 일반적이지 않은 활동을 감시하고 차단합니다. 적응형 이상 행위 제어는 일련의 규칙을 사용하여 비정상적인 동작을 추적합니다(예, 오피스 애플리케이션에서 Windows PowerShell 시작 규칙). 규칙은 Kaspersky 전문가가 일반적인 악의적인 활동 시나리오를 기반으로 작성합니다. 적응형 이상 행위 제어에서 각 규칙을 처리하는 방법을 구성할 수 있습니다. 예, 특정 워크플로 작업을 자동화하는 PowerShell 스크립트를 실행할 수 있게 허용. Kaspersky Endpoint Security는 규칙 세트와 애플리케이션 데이터베이스를 업데이트합니다. 규칙 세트에 대한 업데이트를 직접 확인해야 합니다.

적응형 이상 행위 제어 설정

적응형 이상 행위 제어의 구성은 다음 단계로 구성됩니다:

1. 적응형 이상 행위 제어 학습.

   적응형 이상 행위 제어를 활성화하면 해당 규칙은 학습 모드로 작동합니다. 학습하는 동안 적응형 이상 행위 제어는 규칙 트리거링을 모니터링하고 트리거링 이벤트를 Kaspersky Security Center로 전송합니다. 각 규칙은 개별적으로 학습 모드 지속 시간을 갖습니다. 학습 모드 지속 시간은 Kaspersky 전문가가 설정합니다. 일반적으로 학습 모드는 2주 동안 진행됩니다.

   학습 중에 규칙이 전혀 트리거되지 않은 경우 적응형 이상 행위 제어는 이후 이 규칙과 관련된 작업을 일반적이지 않은 것으로 간주합니다. Kaspersky Endpoint Security는 해당 규칙과 관련된 모든 작업을 차단합니다.

   학습 중에 규칙이 트리거되면 Kaspersky Endpoint Security는 규칙 트리거링 리포트 및 스마트 학습 상태 중에 탐지된 규칙 트리거링 저장소에 이벤트를 기록합니다.

2. 규칙 트리거링 리포트 분석.

   관리자는 규칙 트리거링 리포트 또는 스마트 학습 상태 중에 탐지된 규칙 트리거링 저장소의 내용을 분석합니다. 그런 다음 관리자는 규칙이 트리거될 때 적응형 이상 행위 제어의 동작을 선택할 수 있습니다: 차단 또는 허용. 또한 관리자는 규칙의 작동 방식을 계속 모니터링하고 학습 모드의 기간을 연장할 수 있습니다. 관리자가 아무런 조치를 취하지 않으면 애플리케이션도 학습 모드에서 계속 작동합니다. 학습 모드 기간이 재시작되었습니다.

적응형 이상 행위 제어가 실시간으로 구성됩니다. 적응형 이상 행위 제어는 다음 채널을 통해 구성됩니다:

• 적응형 이상 행위 제어는 학습 모드에서 트리거되지 않은 규칙과 관련된 작업을 자동으로 차단하기 시작합니다.
• Kaspersky Endpoint Security는 새 규칙을 추가하거나 오래된 규칙을 제거합니다.
• 관리자는 규칙 트리거링 리포트와 스마트 학습 상태 중에 탐지된 규칙 트리거링 저장소의 내용을 검토한 후 적응형 이상 행위 제어의 작업을 구성합니다. 규칙 트리거링 리포트와 스마트 학습 상태 중에 탐지된 규칙 트리거링 저장소의 내용을 확인하는 것이 좋습니다.

악성 애플리케이션이 동작을 수행하려고 하면 Kaspersky Endpoint Security가 해당 동작을 차단하고 알림을 표시합니다(아래 그림 참조).

적응형 이상 행위 제어 알림

적응형 이상 행위 제어 운영 알고리즘

Kaspersky Endpoint Security는 다음 알고리즘을 기반으로 한 규칙과 연관된 동작을 허용할지 또는 차단할지 결정합니다(아래 그림 참조).

적응형 이상 행위 제어 운영 알고리즘

적응형 이상 행위 제어 구성 요소 설정

파라미터	설명
적응형 이상 행위 제어 규칙 상태 리포트 (Kaspersky Security Center 콘솔에서만 사용 가능)	이 리포트에는 적응형 이상 행위 제어 탐지 규칙의 상태(예, 사용 안 함 또는 차단)에 대한 정보가 포함되어 있습니다. 이 리포트는 모든 관리 그룹을 대상으로 생성됩니다.
트리거된 적응형 이상 행위 제어 규칙에 대한 리포트 (Kaspersky Security Center 콘솔에서만 사용 가능)	이 리포트에는 적응형 이상 행위 제어를 사용하여 탐지한 일반적이지 않은 동작에 대한 정보가 들어 있습니다. 이 리포트는 모든 관리 그룹을 대상으로 생성됩니다.
규칙	적응형 이상 행위 제어 규칙 표. 규칙은 Kaspersky 전문가가 일반적인 잠재적 악성 활동 시나리오를 기반으로 작성합니다.
템플릿	차단 관련 메시지. 일반적이지 않은 동작을 차단하는 적응형 이상 행위 제어 규칙이 트리거될 때 사용자에게 표시되는 메시지 템플릿입니다. 관리자에게 메시지 보내기. 사용자가 차단이 잘못된 것으로 판단한 경우 로컬 네트워크 관리자에게 사용자가 보낼 수 있는 메시지 템플릿입니다. 사용자가 액세스 제공을 요청하면 Kaspersky Endpoint Security는 Kaspersky Security Center에 관리자에게 애플리케이션 활동 차단 메시지 보내기 이벤트를 보냅니다. 이벤트 설명에는 대체 변수와 함께 관리자에게 보내는 메시지가 포함됩니다. 사전 정의된 이벤트 조회 사용자 개선 요청 사항을 사용하여 Kaspersky Security Center 콘솔에서 이러한 이벤트를 볼 수 있습니다. 조직에 Kaspersky Security Center가 배포되어 있지 않거나 중앙 관리 서버에 연결되어 있지 않은 경우 애플리케이션은 지정된 이메일 주소로 관리자에게 메시지를 보냅니다.

참조: 로컬 인터페이스를 통해 애플리케이션 관리 적응형 이상 행위 제어 작동 및 중지 적응형 이상 행위 제어 규칙 작동 및 중지 적응형 이상 행위 제어 규칙 작동 시에 수행되는 처리 수정 적응형 이상 행위 제어 규칙에 대한 예외 규칙 생성 적응형 이상 행위 제어 규칙에 대한 예외 규칙 내보내기 및 가져오기 적응형 이상 행위 제어 규칙용 업데이트 적용 적응형 이상 행위 제어 메시지 템플릿 편집 적응형 이상 행위 제어 리포트 보기

맨 위로