Adaptív Anomáliafelügyelő
Ez az összetevő csak a Kaspersky Endpoint Security for Business Advanced és a Kaspersky Total Security for Business termékben érhető el. A Kaspersky Endpoint Security for Business további részleteiért látogasson el a Kaspersky webhelyére.
Ez az összetevő akkor használható, ha a Kaspersky Endpoint Security alkalmazás telepítése munkaállomásokra szánt Microsoft Windows rendszert futtató számítógépre történt. Ez az összetevő nem használható, ha a Kaspersky Endpoint Security alkalmazás kiszolgálókra szánt Windows rendszert futtató számítógépre van telepítve.
Az Adaptív Anomáliafelügyelő összetevő megfigyeli és letiltja azokat a tevékenységeket, amelyek nem megszokottak a cég hálózatán található számítógépeken. Az Adaptív Anomáliafelügyelő egy szabálycsoport alapján követi nyomon a nem megszokott viselkedést (például a Microsoft PowerShell indítása egy Office-alkalmazásból szabályt). A szabályokat a Kaspersky szakemberei állították össze a rosszindulatú tevékenységek tipikus forgatókönyvei alapján. Konfigurálhatja, hogy az Adaptív Anomáliafelügyelő miként kezelje az egyes szabályokat és engedélyezheti olyan PowerShell szkriptek végrehajtását, amelyek bizonyos feladatokat automatizálnak. A Kaspersky Endpoint Security az alkalmazás adatbázisával együtt frissíti a szabálycsoportokat. A szabálycsoportok frissítését manuálisan kell megerősíteni.
Az Adaptív Anomáliafelügyelő beállításai
Az Adaptív Anomáliafelügyelő beállításai a következő lépésekből állnak:
- Az Adaptív Anomáliafelügyelő betanítása.
Miután engedélyezte az Adaptív Anomáliafelügyelőt, a szabályok tanuló módban vannak. A tanulás során az Adaptív Anomáliafelügyelő nyomon követi a szabályok végrehajtását kiváltó tevékenységeket és eseményriasztásokat küld a Kaspersky Security Center részére. Minden szabálynak megvan a saját tanulási ideje. A tanulási mód időtartamát a Kaspersky szakemberei határozták meg. Normális esetben a tanulási mód két hétig aktív.
Ha egy szabály betartását a tanulási időszak során egyszer se váltották ki, akkor az Adaptív Anomáliafelügyelő az adott szabályhoz kapcsolódó tevékenységeket gyanúsnak fogja minősíteni. A Kaspersky Endpoint Security le fog tiltani az adott szabályhoz kapcsolódó minden tevékenységet.
Ha egy szabály végrehajtását kiváltották a tanulási időszakban, akkor a Kaspersky Endpoint Security naplóbejegyzést készít az eseményekről a szabálykiváltó jelentésben és a Szabályok kiváltása Intelligens tanulási módban gyűjteményben.
- A szabálykiváltó jelentés értelmezése.
A szabálykiváltó jelentést vagy a Szabályok kiváltása Intelligens tanulási módban gyűjteményt a rendszergazdának kell értelmezni. A rendszergazda ezt követően kiválaszthatja az Adaptív Anomáliafelügyelő viselkedését az adott helyzetben, hogy blokkolja vagy engedélyezi a szabály betartását. A rendszergazda emellett folyamatosan nyomon követheti az adott szabály működését és kibővítheti a tanulási mód időtartamát. Ha a rendszergazda nem tesz semmit, az alkalmazás továbbra is tanulási módban fog működni. Az útmutató mód feltételek újraindultak.
Az Adaptív Anomáliafelügyelő konfigurálása valós időben történik. Az Adaptív Anomáliafelügyelő konfigurálása a következő csatornákon történik:
- Az Adaptív Anomáliafelügyelő automatikusan letiltja vagy engedélyezi a szabályokhoz társított tevékenységeket, amelyek nem lettek kiváltva tanulási módban.
- A Kaspersky Endpoint Security új szabályokat ad hozzá és eltávolítja az elavultakat.
- A rendszergazda azt követően konfigurálja az Adaptív Anomáliafelügyelő működését, hogy áttekintette a szabálykiváltó jelentést és a Szabályok kiváltása Intelligens tanulási módban gyűjtemény tartalmát. Javasoljuk, hogy ellenőrizze a szabálykiváltó jelentést és a Szabályok kiváltása Intelligens tanulási módban gyűjtemény tartalmát.
Amikor egy rosszindulatú alkalmazás megpróbál műveletet végrehajtani, a Kaspersky Endpoint Security letiltja a műveletet és értesítést jelenít meg (lásd az alábbi ábrát).
Adaptív Anomáliafelügyeleti értesítés
Az Adaptív Anomáliafelügyelő működési algoritmusa
A Kaspersky Endpoint Security a következő algoritmus alapján dönti el, hogy engedélyezze vagy letiltsa az adott szabályhoz társított műveletet (lásd az alábbi ábrán).
Az Adaptív Anomáliafelügyelő működési algoritmusa