Über die Adaptive Kontrolle von Anomalien
Die Komponente "Adaptive Kontrolle von Anomalien" ist nur für die Lösungen Kaspersky Endpoint Security for Business Advanced und Kaspersky Total Security for Business verfügbar (nähere Informationen über die Lösungen Kaspersky Endpoint Security for Business finden Sie auf der Kaspersky-Website).
Die Komponente "Adaptive Kontrolle von Anomalien" überwacht und blockiert verdächtige Aktionen, die für Computer des Unternehmensnetzwerks untypisch sind. Zur Überwachung von untypischen Aktionen verwendet die "Adaptive Kontrolle von Anomalien" eine Auswahl von Regeln (z. B. die Regel Start von Windows PowerShell aus einem Office-Programm). Die Regeln wurden von den Kaspersky-Spezialisten auf Basis typischer Szenarien für schädliche Aktivitäten erstellt. Sie können ein Verhalten der "Adaptiven Kontrolle von Anomalien" für jede einzelne Regeln auswählen und beispielsweise den Start von PowerShell-Skripten erlauben, um die Lösung von Unternehmensaufgaben zu automatisieren. Kaspersky Endpoint Security aktualisiert den Regelsatz aus den Programm-Datenbanken. Die Aktualisierung des Regelsatzes muss manuell bestätigt werden.
"Adaptive Kontrolle von Anomalien" anpassen
Die Anpassung der "Adaptiven Kontrolle von Anomalien" umfasst folgende Schritte:
- Training der "Adaptiven Kontrolle von Anomalien".
Nachdem die "Adaptive Kontrolle von Anomalien" aktiviert ist, funktionieren die Regeln im Lernmodus. Im Verlauf des Trainings überwacht die "Adaptive Kontrolle von Anomalien" die Auslösung von Regeln und sendet Auslöseereignisse an Kaspersky Security Center. Jede Regel hat eine eigene Dauer für den Lernmodus. Die Dauer des Lernmodus wird von den Kaspersky-Experten vorgegeben. Gewöhnlich dauert der Lernmodus 2 Wochen.
Wenn eine Regel während des Trainings nie ausgelöst wurde, betrachtet die "Adaptive Kontrolle von Anomalien" die mit dieser Regel verbundenen Aktionen als verdächtig. Kaspersky Endpoint Security blockiert alle Aktionen, die mit dieser Regel zusammenhängen.
Wenn eine Regel während des Trainings ausgelöst wurde, protokolliert Kaspersky Endpoint Security die Ereignisse im Bericht über ausgelöste Regeln und im Speicher Auslösung von Regeln im Lernmodus.
- Analyse des Berichts über ausgelöste Regeln.
Der Administrator analysiert den Bericht über ausgelöste Regeln oder den Inhalt des Speichers Auslösung von Regeln im Lernmodus. Anschließend kann der Administrator das Verhalten der "Adaptiven Kontrolle von Anomalien" bei einer Auslösung der Regel festlegen: blockieren oder erlauben. Außerdem kann der Administrator die Regelauslösung weiterhin überwachen und die Dauer des Lernmodus für das Programm verlängern. Ergreift der Administrator keine Maßnahmen, so läuft das Programm ebenfalls im Lernmodus weiter. Die Dauer des Lernmodus beginnt von vorne.
Die "Adaptive Kontrolle von Anomalien" wird im Echtzeitmodus angepasst. Die "Adaptive Kontrolle von Anomalien" wird wie folgt angepasst:
- Die "Adaptive Kontrolle von Anomalien" beginnt automatisch, jene Aktionen zu blockieren, die mit Regeln zusammenhängen, die im Lernmodus nicht ausgelöst wurden.
- Kaspersky Endpoint Security fügt neue Regeln hinzu oder löscht veraltete Regeln.
- Der Administrator passt die Verwendung der "Adaptiven Kontrolle von Anomalien" nach der Analyse des Berichts über ausgelöste Regeln und des Inhalts des Speichers Auslösung von Regeln im Lernmodus an. Es wird empfohlen, den Bericht über ausgelöste Regeln und den Inhalt des Speichers Auslösung von Regeln im Lernmodus zu überprüfen.
Wenn ein Schadprogramm versucht, eine Aktion auszuführen, blockiert Kaspersky Endpoint Security die Aktion und zeigt eine Benachrichtigung an (siehe Abbildung unten).
Benachrichtigung der "Adaptiven Kontrolle von Anomalien"
Algorithmus der "Adaptiven Kontrolle von Anomalien"
Um über die Ausführung einer Aktion, die mit einer Regeln verbunden ist, zu entscheiden, nutzt Kaspersky Endpoint Security den folgenden Algorithmus (siehe Abbildung unten).
Algorithmus der "Adaptiven Kontrolle von Anomalien"