Giám sát hoạt động của Kiểm soát thích ứng sự cố
Kiểm soát thích ứng sự cố bao gồm một số công cụ giám sát. Mục đích chính của việc giám sát Kiểm soát thích ứng sự cố là để cấu hình thành phần trong quá trình đào tạo.
Báo cáo Kiểm soát thích ứng sự cố
Kiểm soát thích ứng sự cố sử dụng các báo cáo sau:
- Báo cáo về trạng thái các quy tắc Kiểm soát thích ứng sự cố. Báo cáo chứa thông tin về trạng thái của các quy tắc Kiểm soát thích ứng sự cố (Off, Smart Training, Smart Block, Notify, Block). Báo cáo này cho phép phân tích mức độ đào tạo của Kiểm soát thích ứng sự cố và đánh giá số lượng quy tắc đã chuyển từ chế độ Smart Training sang chế độ hoạt động bình thường (ví dụ: Smart Block).
- Báo cáo về các quy tắc Kiểm soát thích ứng sự cố được kích hoạt. Báo cáo chứa thông tin về các quy tắc kích hoạt. Báo cáo cũng hiển thị chế độ kích hoạt quy tắc: Block (bao gồm Smart Block) hoặc Notify. Báo cáo này cho phép đánh giá hoạt động của Kiểm soát thích ứng sự cố trên máy tính của người dùng.
Cách xem báo cáo Kiểm soát thích ứng sự cố trong Bảng điều khiển quản trị (MMC)
- Mở Bảng điều khiển quản trị Kaspersky Security Center.
- Trong cây bảng điều khiển, hãy chọn Policies.
- Chọn chính sách cần thiết và nhấn đúp để mở các thuộc tính chính sách.
- Trong cửa sổ chính sách, hãy chọn Kiểm soát bảo mật → Kiểm soát thích ứng sự cố.
- Thực hiện một trong các thao tác sau:
- Nếu bạn muốn xem báo cáo về trạng thái quy tắc Kiểm soát thích ứng sự cố, hãy nhấn vào liên kết Báo cáo về trạng thái các quy tắc Kiểm soát thích ứng sự cố.
- Nếu bạn muốn xem báo cáo về quy tắc Kiểm soát thích ứng sự cố đã kích hoạt, hãy nhấn vào liên kết Báo cáo về các quy tắc Kiểm soát thích ứng sự cố được kích hoạt.
- Tiến trình tạo báo cáo sẽ được bắt đầu.
Báo cáo sẽ được hiển thị trong một cửa sổ mới.
Cách xem báo cáo Kiểm soát thích ứng sự cố trong Bảng điều khiển web
- Trong cửa sổ chính của Bảng điều khiển web, hãy chọn Assets (Devices) → Policies & profiles.
- Nhấn vào tên của chính sách Kaspersky Endpoint Security.
Cửa sổ thuộc tính chính sách sẽ được mở ra.
- Chọn thẻ Application settings.
- Vào Security Controls → Adaptive Anomaly Control.
- Thực hiện một trong các thao tác sau:
- Nếu bạn muốn xem báo cáo về trạng thái quy tắc Kiểm soát thích ứng sự cố, hãy nhấn vào liên kết Report on Adaptive Anomaly Control rules state.
- Nếu bạn muốn xem báo cáo về quy tắc Kiểm soát thích ứng sự cố đã kích hoạt, hãy nhấn vào liên kết Report on triggered Adaptive Anomaly Control rules.
- Tiến trình tạo báo cáo sẽ được bắt đầu.
Báo cáo sẽ được hiển thị trong một cửa sổ mới.
Để tạo báo cáo trong bảng điều khiển Kaspersky Security Center, bạn phải bật tính năng truyền dữ liệu tới Máy chủ quản trị. Truyền dữ liệu được bật theo mặc định.
Cách bật truyền dữ liệu cho Kiểm soát thích ứng sự cố trong Bảng điều khiển quản trị (MMC)
- Mở Bảng điều khiển quản trị Kaspersky Security Center.
- Trong cây bảng điều khiển, hãy chọn Policies.
- Chọn chính sách cần thiết và nhấn đúp để mở các thuộc tính chính sách.
- Trong cửa sổ chính sách, hãy chọn Thiết lập tổng quát → Các báo cáo và lưu trữ.
- Trong mục Truyền dữ liệu đến Máy chủ quản trị, hãy nhấn nút Thiết lập.
- Đánh dấu vào các ô sau:
- Báo cáo về trạng thái các quy tắc Kiểm soát thích ứng sự cố.
- Báo cáo về các quy tắc Kiểm soát thích ứng sự cố được kích hoạt.
- Lưu các thay đổi của bạn.
Cách bật truyền dữ liệu cho Kiểm soát thích ứng sự cố trong Bảng điều khiển web
- Trong cửa sổ chính của Bảng điều khiển web, hãy chọn Assets (Devices) → Policies & profiles.
- Nhấn vào tên của chính sách Kaspersky Endpoint Security.
Cửa sổ thuộc tính chính sách sẽ được mở ra.
- Chọn thẻ Application settings.
- Vào General settings → Reports and Storage.
- Trong mục Data transfer to Administration Server, hãy chọn các hộp kiểm sau:
- Report on Adaptive Anomaly Control rules state.
- Report on triggered Adaptive Anomaly Control rules.
- Lưu các thay đổi của bạn.
Lưu trữ Rule triggers in Smart Training state
Ở chế độ đào tạo, Kiểm soát thích ứng sự cố sẽ gửi thông tin về các quy tắc được kích hoạt đến một kho lưu trữ riêng biệt, Rule triggers in Smart Training state. Thông tin về các quy tắc được kích hoạt được thể hiện trong kho lưu trữ dưới dạng danh sách các sự kiện. Để tinh chỉnh Kiểm soát thích ứng sự cố, bạn có thể xác nhận hành vi bất thường trên máy tính hoặc thêm một loại trừ khỏi quy tắc.
Sự kiện Kiểm soát thích ứng sự cố
Kiểm soát thích ứng sự cố sẽ ghi lại các sự kiện quy tắc trong các chế độ Block (bao gồm Smart Block) và Notify. Các sự kiện sau đây được cung cấp cho mục đích này:
Process action blocked
Process action skipped
Sự kiện chứa thông tin về hoạt động đáng ngờ bao gồm mã tổng kiểm của tập tin, người dùng liên quan, thời gian kích hoạt quy tắc và tên máy tính. Sau khi phân tích sự kiện, bạn có thể ngay lập tức thêm các loại trừ khỏi quy tắc nếu thấy hoạt động đó hợp lệ.
Về đầu trang