Uyarlamalı Anomali Denetimi

Bu bileşen, İş istasyonları için Windows’un kurulu olduğu bir bilgisayara Kaspersky Endpoint Security yüklendiğinde kullanılabilir. Bu bileşen, sunucular için Windows’un kurulu olduğu bir bilgisayara Kaspersky Endpoint Security yüklendiğinde kullanılamaz.

Uyarlamalı Anomali Denetimi bileşeni, şirketin ağındaki bilgisayarlarda tipik olarak görülmeyen eylemleri izler ve engeller. Uyarlamalı Anomali Denetimi, tipik olmayan davranışı izlemek için kurallar dizisi kullanır (örneğin, Microsoft PowerShell'in Office uygulamasından başlatılması kuralı). Kurallar, Kaspersky uzmanları tarafından zararlı etkinliğin tipik senaryolarına dayanarak oluşturulur. Uyarlamalı Anomali Denetiminin her bir kuralı nasıl ele aldığını yapılandırabilirsiniz (örneğin, belirli iş akışı görevlerini otomatikleştiren PowerShell komut dizilerinin yürütülmesine izin vermek). Kaspersky Endpoint Security, uygulama veritabanlarıyla birlikte kurallar dizisini de günceller. Kurallar dizisinde yapılan güncellemeler elle onaylanmalıdır.

Uyarlamalı Anomali Denetimi ayarları

Uyarlamalı anomali denetimini yapılandırma işlemi şu adımlardan oluşur:

  1. Uyarlamalı Anomali Denetimi eğitimi.

    Uyarlamalı Anomali Denetimini etkinleştirmenizin ardından kurallar eğitim modunda çalışır. Eğitim sırasında Uyarlamalı Anomali Denetimi, kural tetiklemeyi izler ve tetikleme etkinliklerini Kaspersky Security Center'a gönderir. Her kuralın kendi eğitim modu süresi vardır. Eğitim modunun süresi Kaspersky uzmanları tarafından belirlenir. Normalde eğitim modu iki hafta boyunca etkindir.

    Bir kural eğitim boyunca hiç tetiklenmezse Uyarlamalı Anomali Denetimi bu kuralla ilgili eylemleri tipik değil olarak ele alır. Kaspersky Endpoint Security bu kuralla ilgili tüm eylemleri engeller.

    Eğitim sırasında bir kural tetiklendiyse Kaspersky Endpoint Security, etkinlikleri kural tetikleme raporunda ve Akıllı Eğitim durumunda kuralları tetikleme veri havuzunda günlüğe kaydeder.

  2. Kural tetikleme raporunu analiz etme.

    Yönetici, kural tetikleme raporunu veya Akıllı Eğitim durumunda kuralları tetikleme veri havuzunun içeriğini analiz eder. Ardından yönetici, kural tetiklendiğinde Uyarlamalı Anomali Denetiminin davranışını seçebilir: engelleme veya izin verme. Yönetici ayrıca kuralın nasıl çalıştığını izlemeye devam edebilir ve eğitim modunun süresini uzatabilir. Yönetici hiçbir eylemde bulunmazsa uygulama da eğitim modunda çalışmaya devam eder. Eğitim modu süresi yeniden başlatılır.

Uyarlamalı Anomali Denetimi gerçek zamanlı olarak yapılandırılır. Uyarlamalı Anomali Denetimi şu kanallar üzerinden yapılandırılır:

Zararlı bir uygulama eylemde bulunmaya çalıştığında Kaspersky Endpoint Security, eylemi engeller ve bir bildirim gösterir (aşağıdaki resme bakın).

Uyarlamalı Anomali Denetimi bildirimi

Uyarlamalı Anomali Denetimi çalışma algoritması

Kaspersky Endpoint Security, bir kuralla ilgili eyleme izin verilip verilmeyeceğini aşağıdaki algoritmaya (aşağıdaki resme bakın) göre belirler.

Uyarlamalı Anomali Denetimi çalışma algoritması

Uyarlamalı Anomali Denetimi bileşeni ayarları

Parametre

Açıklama

Uyarlamalı Anomali Denetimi kurallarının durumu hakkında rapor

(sadece Kaspersky Security Center Konsolunda mevcuttur)

Bu rapor Uyarlamalı Anomali Denetimi algılama kurallarının durumu hakkında bilgiler içerir (örneğin, Devre dışı bırakıldı veya Engelle). Rapor, tüm yönetim grupları için oluşturulur.

Tetiklenen Uyarlamalı Anomali Denetimi kuralları hakkında rapor

(sadece Kaspersky Security Center Konsolunda mevcuttur)

Bu rapor, Uyarlamalı Anomali Denetimi kullanılarak tespit edilen tipik olmayan eylemler hakkında bilgiler içerir. Rapor, tüm yönetim grupları için oluşturulur.

Kurallar

Uyarlamalı Anomali Denetimi kuralları tablosu. Kurallar, potansiyel olarak zararlı etkinliğin tipik senaryolarına dayanarak Kaspersky uzmanları tarafından oluşturulur.

Şablonlar

Engelleme hakkında mesaj. Tipik olmayan bir eylemi engelleyen bir Uyarlamalı Anomali Denetimi kuralı tetiklendiğinde kullanıcıya gösterilecek mesajın şablonu.

Yöneticiye mesaj. Kullanıcı, engelleme işleminin bir hata olduğunu düşünüyorsa yerel kurumsal ağ yöneticisine gönderebileceği mesaj şablonu. Kullanıcı erişim sağlama talebinde bulunduktan sonra Kaspersky Endpoint Security, Kaspersky Security Center'a bir olay gönderir: Yöneticiye uygulama etkinliği engelleme mesajı. Olay açıklaması, değiştirilen değişkenlerle birlikte yöneticiye bir mesaj içerir. Bu olayları Kaspersky Security Center konsolunda, önceden tanımlanmış olay seçimi Kullanıcı isteklerini kullanarak görüntüleyebilirsiniz. Kuruluşunuzda Kaspersky Security Center dağıtılmamışsa veya Yönetim Sunucusuna bağlantı yoksa, uygulama belirtilen e-posta adresine yöneticiye bir mesaj gönderir.

Ayrıca bkz.: Yerel arabirim üzerinden uygulamayı yönetme

Uyarlamalı Anomali Denetimini etkinleştirme ve devre dışı bırakma

Bir Uyarlamalı Anomali Denetimi kuralını etkinleştirme ve devre dışı bırakma

Bir Uyarlamalı Anomali Denetimi kuralı tetiklendiğinde gerçekleştirilecek eylemi değiştirme

Bir Uyarlamalı Anomali Denetimi kuralına yönelik istisna oluşturma

Uyarlamalı Anomali Denetimi kuralları için istisnaları içe ve dışa aktarma

Uyarlamalı Anomali Denetimi kurallarına yönelik güncellemeleri uygulama

Uyarlamalı Anomali Denetimi mesaj şablonlarını düzenleme

Uyarlamalı Anomali Denetimi raporlarını görüntüleme

Sayfanın başına git