Adaptieve controle op afwijkingen
Dit onderdeel is beschikbaar als Kaspersky Endpoint Security is geïnstalleerd op een computer met Windows voor werkstations. Dit onderdeel is niet beschikbaar als Kaspersky Endpoint Security is geïnstalleerd op een computer met Windows voor servers.
Het onderdeel Adaptieve controle op afwijkingen bewaakt en blokkeert acties die niet kenmerkend zijn voor de computers in het bedrijfsnetwerk. Adaptieve controle op afwijkingen gebruikt een aantal regels om afwijkend gedrag bij te houden (bijvoorbeeld de regel Start van Windows PowerShell via Office-programma). Regels worden door Kaspersky-experts gemaakt op basis van kenmerkende scenario's van malware-activiteit. U kunt configureren hoe Adaptieve controle op afwijkingen elke regel moet gebruiken en bijvoorbeeld toestaan dat PowerShell-scripts voor de automatisering van bepaalde workflows worden uitgevoerd. Kaspersky Endpoint Security updatet de reeks regels samen met de programmadatabases. Updates voor deze regels moeten handmatig worden bevestigd.
Instellingen van Adaptieve controle op afwijkingen
De configuratie van Adaptieve controle op afwijkingen bestaat uit de volgende stappen:
- Adaptieve controle op afwijkingen trainen.
Nadat u Adaptieve controle op afwijkingen hebt ingeschakeld, werken de regels ervan in de trainingsmodus. Tijdens de training bewaakt Adaptieve controle op afwijkingen de activering van regels en verstuurt het activeringsgebeurtenissen naar Kaspersky Security Center. Elke regel heeft een eigen trainingsduur. De duur van de trainingsmodus is door experts van Kaspersky vastgelegd. Normaal is de trainingsmodus twee weken actief.
Als een regel tijdens de training niet één keer is geactiveerd, zal Adaptieve controle op afwijkingen de acties die zijn gekoppeld aan deze regel als niet typisch beschouwen. Kaspersky Endpoint Security blokkeert dan alle acties die aan die regel zijn gekoppeld.
Als een regel tijdens de training is geactiveerd, registreert Kaspersky Endpoint Security gebeurtenissen in het rapport over de activering van regels en de opslagplaats Triggering of rules in Smart Training state.
- Rapport over activering van regels analyseren.
De beheerder analyseert het rapport over de activering van regels of de inhoud van de opslagplaats Triggering of rules in Smart Training state. Daarna kan de beheerder het gedrag van Adaptieve controle op afwijkingen selecteren wanneer de regel wordt geactiveerd: blokkeren of toestaan. De beheerder kan ook verder bewaken hoe de regel werkt en de duur van de training verlengen. Als de beheerder geen actie onderneemt, blijft het programma ook werken in de trainingsmodus. De periode van de trainingsmodus wordt dan herstart.
Adaptieve controle op afwijkingen wordt in realtime geconfigureerd. Adaptieve controle op afwijkingen wordt via de volgende kanalen geconfigureerd:
- Adaptieve controle op afwijkingen begint automatisch de acties te blokkeren voor de regels die nooit zijn geactiveerd in de trainingsmodus.
- Kaspersky Endpoint Security voegt nieuwe regels toe of verwijdert oude regels.
- De beheerder configureert de werking van Adaptieve controle op afwijkingen na de controle van het rapport over de activering van regels en de inhoud van de opslagplaats Triggering of rules in Smart Training state. U wordt aanbevolen het rapport over de activering van regels en de inhoud van de opslagplaats Triggering of rules in Smart Training state te controleren.
Wanneer een schadelijk programma een actie probeert uit te voeren, blokkeert Kaspersky Endpoint Security de actie en toont het een melding (zie onderstaande afbeelding).
Melding van Adaptieve controle op afwijkingen
Algoritme voor de werking van Adaptieve controle op afwijkingen
Op basis van het volgende algoritme (zie onderstaande afbeelding) beslist Kaspersky Endpoint Security of een actie van een regel al dan niet mag worden uitgevoerd.
Algoritme voor de werking van Adaptieve controle op afwijkingen