Uyarlamalı Anomali Denetimi
Bu bileşen, İş istasyonları için Windows’un kurulu olduğu bir bilgisayara Kaspersky Endpoint Security yüklendiğinde kullanılabilir. Bu bileşen, sunucular için Windows’un kurulu olduğu bir bilgisayara Kaspersky Endpoint Security yüklendiğinde kullanılamaz.
Uyarlamalı Anomali Denetimi bileşeni, şirketin ağındaki bilgisayarlarda tipik olarak görülmeyen eylemleri izler ve engeller. Uyarlamalı Anomali Denetimi, tipik olmayan davranışı izlemek için kurallar dizisi kullanır (örneğin, Microsoft PowerShell'in Office uygulamasından başlatılması kuralı). Kurallar, Kaspersky uzmanları tarafından zararlı etkinliğin tipik senaryolarına dayanarak oluşturulur. Uyarlamalı Anomali Denetiminin her bir kuralı nasıl ele aldığını yapılandırabilirsiniz (örneğin, belirli iş akışı görevlerini otomatikleştiren PowerShell komut dizilerinin yürütülmesine izin vermek). Kaspersky Endpoint Security, uygulama veritabanlarıyla birlikte kurallar dizisini de günceller. Kurallar dizisinde yapılan güncellemeler elle onaylanmalıdır.
Uyarlamalı Anomali Denetimi ayarları
Uyarlamalı anomali denetimini yapılandırma işlemi şu adımlardan oluşur:
- Uyarlamalı Anomali Denetimi eğitimi.
Uyarlamalı Anomali Denetimini etkinleştirmenizin ardından kurallar eğitim modunda çalışır. Eğitim sırasında Uyarlamalı Anomali Denetimi, kural tetiklemeyi izler ve tetikleme etkinliklerini Kaspersky Security Center'a gönderir. Her kuralın kendi eğitim modu süresi vardır. Eğitim modunun süresi Kaspersky uzmanları tarafından belirlenir. Normalde eğitim modu iki hafta boyunca etkindir.
Bir kural eğitim boyunca hiç tetiklenmezse Uyarlamalı Anomali Denetimi bu kuralla ilgili eylemleri tipik değil olarak ele alır. Kaspersky Endpoint Security bu kuralla ilgili tüm eylemleri engeller.
Eğitim sırasında bir kural tetiklendiyse Kaspersky Endpoint Security, etkinlikleri kural tetikleme raporunda ve Akıllı Eğitim durumunda kuralları tetikleme veri havuzunda günlüğe kaydeder.
- Kural tetikleme raporunu analiz etme.
Yönetici, kural tetikleme raporunu veya Akıllı Eğitim durumunda kuralları tetikleme veri havuzunun içeriğini analiz eder. Ardından yönetici, kural tetiklendiğinde Uyarlamalı Anomali Denetiminin davranışını seçebilir: engelleme veya izin verme. Yönetici ayrıca kuralın nasıl çalıştığını izlemeye devam edebilir ve eğitim modunun süresini uzatabilir. Yönetici hiçbir eylemde bulunmazsa uygulama da eğitim modunda çalışmaya devam eder. Eğitim modu süresi yeniden başlatılır.
Uyarlamalı Anomali Denetimi gerçek zamanlı olarak yapılandırılır. Uyarlamalı Anomali Denetimi şu kanallar üzerinden yapılandırılır:
- Uyarlamalı Anomali Denetimi, eğitim modunda hiç tetiklenmeyen kurallarla ilgili eylemleri otomatik olarak engellemeye başlar.
- Kaspersky Endpoint Security yeni kurallar ekler veya kullanılmayan kuralları kaldırır.
- Yönetici, kural tetikleme raporunu ve Akıllı Eğitim durumunda kuralları tetikleme veri havuzunun içeriğini gözden geçirdikten sonra Uyarlamalı Anomali Denetiminin çalışmasını yapılandırır. Kural tetikleme raporunun ve Akıllı Eğitim durumunda kuralları tetikleme veri havuzunun içeriğinin kontrol edilmesi önerilir.
Zararlı bir uygulama eylemde bulunmaya çalıştığında Kaspersky Endpoint Security, eylemi engeller ve bir bildirim gösterir (aşağıdaki resme bakın).
Uyarlamalı Anomali Denetimi bildirimi
Uyarlamalı Anomali Denetimi çalışma algoritması
Kaspersky Endpoint Security, bir kuralla ilgili eyleme izin verilip verilmeyeceğini aşağıdaki algoritmaya (aşağıdaki resme bakın) göre belirler.
Uyarlamalı Anomali Denetimi çalışma algoritması