Control adaptiv al anomaliilor
Această componentă este disponibilă dacă aplicația Kaspersky Endpoint Security este instalată pe un computer pe care se execută Windows pentru stații de lucru. Această componentă nu este disponibilă dacă aplicația Kaspersky Endpoint Security este instalată pe un computer pe care se execută Windows pentru servere.
Componenta Control adaptiv al anomaliilor monitorizează și blochează acțiunile care nu sunt specifice pentru computerele din rețeaua unei companii. Componenta Control adaptiv al anomaliilor utilizează un set de reguli pentru a urmări comportamentul atipic (de exemplu, regula Pornire Microsoft PowerShell din aplicaţia Office). Regulile sunt create de specialiștii Kaspersky pe baza scenariilor tipice de activitate periculoasă. Puteți configura modul în care componenta Control adaptiv al anomaliilor controlează fiecare regulă și, de exemplu, permite executarea scripturilor PowerShell care automatizează anumite activități ale fluxului de lucru. Kaspersky Endpoint Security actualizează setul de reguli împreună cu bazele de date ale aplicațiilor. Actualizările seturilor de reguli trebuie să fie confirmate manual.
Setările componentei Control adaptiv al anomaliilor
Configurarea componentei Control adaptiv al anomaliilor constă în următorii pași:
- Instruire componentă Control adaptiv al anomaliilor.
După ce activați componenta Control adaptiv al anomaliilor, regulile sale funcționează în modul instruire. În timpul instruirii, componenta Control adaptiv al anomaliilor monitorizează regulile de declanșare și trimite evenimente de declanșare către Kaspersky Security Center. Fiecare regulă are propria sa durată a modului de instruire. Durata modului de instruire este setată de către experții de la Kaspersky. În mod normal, modul de instruire este activ timp de două săptămâni.
Dacă o regulă nu este declanșată deloc în timpul instruirii, componenta Control adaptiv al anomaliilor va considera acțiunile asociate cu această regulă ca fiind nespecifice. Kaspersky Endpoint Security va bloca toate acțiunile asociate cu acea regulă.
Dacă o regulă a fost declanșată în timpul instruirii, Kaspersky Endpoint Security înregistrează evenimentele în jurnal în raportul de declanșare a evenimentului și în depozitul Triggering of rules in Smart Training state.
- Analizarea raportului declanșării regulii.
Administratorul analizează raportul de declanșare regulii sau conținutul depozitului Triggering of rules in Smart Training state. Apoi, administratorul poate selecta comportamentul componentei Control adaptiv al anomaliilor atunci când regula este declanșată: să o blocheze sau să o accepte. De asemenea, administratorul poate continua să monitorizeze modul în care funcționează regula și să extindă durata modului de instruire. Dacă administratorul nu întreprinde nicio măsură, aplicația va continua, de asemenea, să funcționeze în modul de instruire. Termenul modului de instruire este repornit.
Componenta Control adaptiv al anomaliilor este configurată în timp real. Componenta Control adaptiv al anomaliilor este configurată prin următoarele metode:
- Componenta Control adaptiv al anomaliilor începe automat să blocheze acțiunile asociate regulilor care nu au fost declanșate niciodată în modul de instruire.
- Kaspersky Endpoint Security adaugă noi reguli sau le elimină pe cele învechite.
- Administratorul configurați funcționarea componentei Control adaptiv al anomaliilor după ce a examinat raportul declanșării regulii și conținutul depozitului Triggering of rules in Smart Training state. Se recomandă analizarea raportului declanșării regulii și conținutul depozitului Triggering of rules in Smart Training state.
Când o aplicație periculoasă încearcă să efectueze o acțiune, Kaspersky Endpoint Security va bloca acțiunea și va afișa o notificare (consultați figura de mai jos).
Notificările componentei Control adaptiv al anomaliilor
Algoritmul de funcționare al componentei Control adaptiv al anomaliilor
Kaspersky Endpoint Security decide dacă va permite sau va bloca o acțiune asociată cu o regulă pe baza următorului algoritm (consultați figura de mai jos).
Algoritmul de funcționare al componentei Control adaptiv al anomaliilor
Setările componentei Control adaptiv al anomaliilor
Parametru |
Descriere |
|---|---|
Raport cu privire la starea regulilor funcției Control adaptiv al anomaliilor (disponibil numai în consola Kaspersky Security Center) |
Acest raport conține informații despre starea regulilor de detectare ale componentei Control adaptiv al anomaliilor (de exemplu, Dezactivat sau Blocare). Raportul se generează pentru toate grupurile de administrare. |
Raport privind regulile declanșate ale funcției Control adaptiv al anomaliilor (disponibil numai în consola Kaspersky Security Center) |
Acest raport conține informații despre acțiunile nespecifice detectate utilizând componenta Control adaptiv al anomaliilor. Raportul se generează pentru toate grupurile de administrare. |
Reguli |
Tabel cu regulile componentei Control adaptiv al anomaliilor. Regulile sunt create de specialiștii Kaspersky pe baza scenariilor tipice de activitate potențial periculoasă. |
Șabloane |
Mesaj despre blocare. Șablonul mesajului afișat unui utilizator atunci când este declanșată regula de Control adaptiv al anomaliilor care blochează o acțiune nespecifică. Mesaj către administrator. Șablonul mesajului potrivit căruia un utilizator poate fi trimis către administratorului rețelei corporative locale, dacă utilizatorul consideră că blocarea este o greșeală. După ce utilizatorul solicită accesul, Kaspersky Endpoint Security trimite un eveniment către Kaspersky Security Center: Mesaj către administrator privind blocarea activității aplicației. Descrierea evenimentului conține un mesaj către administrator cu variabile înlocuite. Puteți vizualiza aceste evenimente în consola Kaspersky Security Center, utilizând selecția de evenimente predefinită User requests. Dacă organizația dvs. nu are instalat Kaspersky Security Center sau nu există nicio conexiune la serverul de administrare, aplicația va trimite un mesaj administratorului la adresa de e-mail specificată. |