Kiểm soát thích ứng sự cố
Thành phần này khả dụng nếu Kaspersky Endpoint Security được cài đặt trên một máy tính chạy Windows dành cho máy trạm. Thành phần này không khả dụng nếu Kaspersky Endpoint Security được cài đặt trên một máy tính chạy Windows cho máy chủ.
Thành phần Kiểm soát thích ứng sự cố sẽ giám sát và chặn các hành động mà các máy tính trong mạng công ty ít có khả năng thực hiện. Kiểm soát thích ứng sự cố sử dụng một bộ quy tắc để theo dõi các hành vi không điển hình (ví dụ, quy tắc Khởi chạy Microsoft PowerShell từ ứng dụng office). Các quy tắc này được tạo bởi các chuyên gia của Kaspersky dựa trên các tình huống hoạt động độc hại thông thường. Bạn có thể cấu hình cách Kiểm soát thích ứng sự cố xử lý từng quy tắc và, chẳng hạn, cho phép thực thi các kịch bản PowerShell tự động hóa một số tác vụ dòng công việc nhất định. Kaspersky Endpoint Security cập nhật ộ quy tắc cùng với các cơ sở dữ liệu ứng dụng. Cập nhật đến các bộ quy tắc phải được xác nhận thủ công.
Thiết lập Kiểm soát thích ứng sự cố
Cấu hình Kiểm soát thích ứng sự cố bao gồm các bước sau:
- Rèn luyện Kiểm soát thích ứng sự cố.
Sau khi bạn bật Kiểm soát thích ứng sự cố, các quy tắc của nó sẽ hoạt động trong chế độ rèn luyện. Trong quá trình rèn luyện, Kiểm soát thích ứng sự cố sẽ theo dõi việc kích hoạt quy tắc và gửi các sự kiện kích hoạt đến Kaspersky Security Center. Mỗi quy tắc đều có thời lượng rèn luyện riêng. Thời lượng của chế độ rèn luyện được quy định bởi các chuyên gia Kaspersky. Thông thường, chế độ rèn luyện sẽ hoạt động trong 2 tuần.
Nếu một quy tắc hoàn toàn không được kích hoạt trong quá trình huấn luyện, Kiểm soát thích ứng sự cố sẽ coi các hành động liên quan đến quy tắc này là ít gặp. Kaspersky Endpoint Security sẽ chặn mọi hành động liên quan đến quy tắc đó.
Nếu một quy tắc được kích hoạt trong quá trình huấn luyện, Kaspersky Endpoint Security sẽ ghi lại sự kiện này trong báo cáo kích hoạt quy tắc và kho lưu trữ Triggering of rules in Smart Training state.
- Phân tích báo cáo kích hoạt quy tắc.
Quản trị viên sẽ phân tích báo cáo kích hoạt quy tắc hoặc nội dung của kho lưu trữ Triggering of rules in Smart Training state. Sau đó, quản trị viên có thể lựa chọn hành vi của Kiểm soát thích ứng sự cố khi quy tắc này được kích hoạt: chặn hoặc cho phép nó. Quản trị viên cũng có thể tiếp tục giám sát cách hoạt động của quy tắc và kéo dài thời lượng của chế độ rèn luyện. Nếu quản trị viên không có hành động nào, ứng dụng cũng sẽ tiếp tục hoạt động trong chế độ rèn luyện. Thời lượng của chế độ rèn luyện được bắt đầu lại.
Kiểm soát thích ứng sự cố được cấu hình trong thời gian thực. Kiểm soát thích ứng sự cố được cấu hình qua các kênh sau:
- Kiểm soát thích ứng sự cố khởi chạy tự động để chặn các hành động liên kết với các quy tắc không bao giờ được kích hoạt trong chế độ rèn luyện.
- Kaspersky Endpoint Security bổ sung các quy tắc mới hoặc xóa các quy tắc đã lỗi thời.
- Quản trị viên cấu hình hoạt động của Kiểm soát thích ứng sự cố sau khi xem lại báo cáo kích hoạt quy tắc và nội dung của kho lưu trữ Triggering of rules in Smart Training state. Bạn nên kiểm tra báo cáo kích hoạt quy tắc và nội dung của kho lưu trữ Triggering of rules in Smart Training state.
Khi một ứng dụng độc hại cố gắng thực hiện một hành động, Kaspersky Endpoint Security sẽ chặn hành động đó và hiển thị một thông báo (xem hình dưới đây).
Thông báo của Kiểm soát thích ứng sự cố
Thuật toán vận hành Kiểm soát thích ứng sự cố
Kaspersky Endpoint Security quyết định liệu có cho phép hay chặn một hành động liên kết với một quy tắc dựa trên thuật toán sau (xem hình dưới đây).
Thuật toán vận hành Kiểm soát thích ứng sự cố