適應性異常控制
如果 Kaspersky Endpoint Security 安裝在執行 Windows for Workstations 的電腦上,則該元件可用。如果 Kaspersky Endpoint Security 安裝在執行 Windows for Servers 的電腦上,則該元件不可用。
自適應異常控制元件會監視並封鎖不是公司網路內電腦典型操作的相關操作。自適應異常控制使用一組規則來偵錯非典型行為(例如,從 Office 應用程式啟動 Microsoft PowerShell 規則)。規則由 Kaspersky 專家根據惡意活動的典型情景建立。您可以配置“自適應異常控制”處理每條規則的方式,例如,允許執行使某些工作流工作自動化的 PowerShell 指令碼。Kaspersky Endpoint Security 會同時更新規則集和應用程式資料庫。規則集的更新必須手動確認。
“自適應異常控制”設定
配置“自適應異常控制”包括以下步驟:
- 訓練“自適應異常控制”。
啟用“自適應異常控制”後,其規則在訓練模式下工作。在訓練期間,“自適應異常控制”監控規則觸發並將觸發事件傳送到卡巴斯基安全管理中心。每條規則都有自己的訓練模式持續時間。訓練模式持續時間由 Kaspersky 專家設定。通常,訓練模式保持活動兩周。
如果在訓練期間某條規則完全未觸發,“自適應異常控制”會將與此規則關聯的操作視為非典型操作。Kaspersky Endpoint Security 將封鎖與該規則相關的所有操作。
如果在訓練期間觸發了某條規則,Kaspersky Endpoint Security 會將事件記錄在規則觸發報告和“智慧培訓狀態中的規則觸發”儲存區中。
- 分析規則觸發報告。
管理員分析規則觸發報告或者“智慧培訓狀態中的規則觸發”儲存區的內容。然後管理員可以選取在觸發規則時“自適應異常控制”的行為:封鎖或允許。管理員還可以繼續監控規則的工作方式並延長訓練模式的持續時間。如果管理員未採取任何操作,應用程式也將繼續在訓練模式下工作。訓練模式期限重新開始。
“自適應異常控制”為即時配置。“自適應異常控制”透過以下通道配置:
- “自適應異常控制”自動開始封鎖與從未在訓練模式中觸發的規則相關聯的操作。
- Kaspersky Endpoint Security 新增新規則或刪除過時規則。
- 管理員在檢視規則觸發報告和“智慧培訓狀態中的規則觸發”儲存區的內容後配置“自適應異常控制”的操作。建議檢查規則觸發報告和“智慧培訓狀態中的規則觸發”儲存區的內容。
當惡意應用程式嘗試執行操作時,Kaspersky Endpoint Security 將封鎖該操作並顯示通知(請參見下圖)。
“自適應異常控制”通知
“自適應異常控制”操作演算法
Kaspersky Endpoint Security 根據以下演算法決定是允許還是封鎖與某條規則關聯的操作(請參見下圖)。
“自適應異常控制”操作演算法
自適應異常控制元件設定
參數 |
描述 |
|---|---|
自適應異常控制規則狀態報告 (僅在卡巴斯基安全管理中心主控台中可用) |
該報告包含有關自適應異常控制偵測規則狀態的資訊(例如,已停用或封鎖)。該報告針對所有管理群組生成。 |
自適應異常控制規則觸發報告 (僅在卡巴斯基安全管理中心主控台中可用) |
該報告包含使用“自適應異常控制”偵測到的非典型操作的相關資訊。該報告針對所有管理群組生成。 |
規則 |
自適應異常控制規則表。規則由 Kaspersky 專家根據疑似惡意活動的典型情景建立。 |
範本 |
有關封鎖的訊息當封鎖非典型操作的自適應異常控制規則觸發時,顯示給使用者的訊息的範本。 傳送郵件給管理員當使用者認為封鎖是錯誤的時可以傳送給本機公司網路系統管理員的訊息的範本。在使用者請求提供存取權限後,Kaspersky Endpoint Security 會向卡巴斯基安全管理中心傳送一個事件:傳送給管理員的應用程式活動封鎖訊息。事件描述包含一條給管理員的訊息,其中包含被替換的變數。您可以使用預定義事件選擇使用者請求在 Kaspersky Security Center 控制台中檢視這些事件。如果您的組織沒有部署卡巴斯基安全管理中心或者沒有連線到管理伺服器,應用程式將向管理員傳送一條訊息到指定的電子郵件信箱。 |