Просмотр списка обнаружений, выполненных с помощью правил Адаптивного контроля аномалий

Развернуть все | Свернуть все

Чтобы просмотреть список обнаружений, выполненных с помощью правил Адаптивного контроля аномалий:

1. В дереве консоли выберите требуемый узел Сервера администрирования.
2. Выберите подпапку Срабатывание правил в состоянии Интеллектуальное обучение (по умолчанию она находится в папке Дополнительно → Хранилища).

   В списке отображается следующая информация об обнаружении, выполняемая с помощью правил Адаптивного контроля аномалий:

   • Группа администрирования

     Имя группы администрирования, в которую включено устройство.

   • Имя устройства

     Имя клиентского устройства, на котором было применено правило.

   • Имя

     Имя правила, которое было применено.

   • Статус

     Исключение – если администратор обработал это обнаружение и добавил его как исключение из правил. Этот статус остается до тех пор, пока не будет выполнена синхронизация клиентского устройства с Сервером администрирования; после синхронизации обнаружение пропадет из списка.

     Подтверждение – если администратор обработал это обнаружение и подтвердил его. Этот статус остается до тех пор, пока не будет выполнена синхронизация клиентского устройства с Сервером администрирования; после синхронизации обнаружение пропадет из списка.

     Пусто – если администратор не обработал обнаружение.

   • Количество срабатываний для всех правил

     Количество обнаружений одного эвристического правила, одного процесса и одного клиентского устройства. Это количество рассчитано Kaspersky Endpoint Security.

   • Имя пользователя

     Имя пользователя клиентского устройства, запустившего процесс, который сгенерировал обнаружение.

   • Путь исходного процесса

     Путь к исходному процессу, то есть к процессу, выполнившему действие (подобную информацию см. в справке Kaspersky Endpoint Security).

   • Хеш исходного процесса

     Хеш SHA-256 исходного файла процесса (подробную информацию см. в справке Kaspersky Endpoint Security).

   • Путь исходного объекта

     Путь к объекту, который запустил процесс (подробную информацию см. в справке Kaspersky Endpoint Security).

   • Хеш исходного объекта

     Хеш SHA-256 исходного файла (подробную информацию см. в справке Kaspersky Endpoint Security).

   • Путь целевого процесса

     Путь к целевому процессу (подробную информацию см. в справке Kaspersky Endpoint Security).

   • Хеш целевого процесса

     Хеш SHA-256 целевого файла (подробную информацию см. в справке Kaspersky Endpoint Security).

   • Путь целевого объекта

     Путь к целевому объекту (подробную информацию см. в справке Kaspersky Endpoint Security).

   • Хеш целевого объекта

     Хеш SHA-256 целевого файла (подробную информацию см. в справке Kaspersky Endpoint Security).

   • Обработан

     Дата обнаружения аномалии.

Чтобы просмотреть свойства каждого элемента:

1. В дереве консоли выберите требуемый узел Сервера администрирования.
2. Выберите подпапку Срабатывание правил в состоянии Интеллектуальное обучение (по умолчанию она находится в папке Дополнительно → Хранилища).
3. В рабочей области папки Срабатывание правил в состоянии Интеллектуальное обучение выберите нужный объект.
4. Выполните одно из следующих действий:
   • Перейдите по ссылке Свойства в рабочей области в правой части экрана.
   • В контекстном меню объекта выберите пункт Свойства.

В открывшемся окне свойства объекта отображается информация объекта.

Вы можете подтвердить или добавить в исключения любой объект в списке, обнаруженный правилами Адаптивного контроля аномалий.

Чтобы подтвердить объект,

выберите один или несколько элементов в списке обнаружений и нажмите на кнопку Подтвердить.

Статус элементов будет изменен на Подтверждение.

Ваше подтверждение влияет на статистику, используемую правилами (подробную информацию см. в справке Kaspersky Endpoint Security 11 для Windows).

Чтобы добавить объект в исключения,

В контекстном меню объекта (или нескольких объектов) списка обнаружений выберите пункт Добавить в исключения.

В результате запустится мастер добавления исключений. Следуйте инструкциям мастера.

Если вы отклоните или подтвердите объект, он будет исключен из списка обнаружений после следующей синхронизации клиентского устройства с Сервером администрирования и больше не будет отображаться в списке.