Komponent Adaptacyjna kontrola anomalii jest dostępny tylko dla Kaspersky Endpoint Security for Business Advanced i Kaspersky Total Security for Business (więcej informacji o produktach Kaspersky Endpoint Security dla biznesu znajdziesz na stronie internetowej Kaspersky).
Komponent Adaptacyjna kontrola anomalii monitoruje i blokuje podejrzane działania, które nie są typowe dla komputerów w sieci firmowej. Adaptacyjna kontrola anomalii wykorzystuje zestaw reguł do śledzenia nietypowych zachowań (na przykład, reguła Uruchom Microsoft PowerShell z aplikacji biurowych). Reguły są tworzone przez specjalistów z Kaspersky w oparciu o typowe scenariusze złośliwej aktywności. Można skonfigurować, w jaki sposób Adaptacyjna kontrola aplikacji obsługuje każdą regułę i, na przykład, zezwolić na wykonywanie skryptów PowerShell, które automatyzują określone zadania przepływu pracy. Kaspersky Endpoint Security aktualizuje zestaw reguł wraz z bazami danych aplikacji. Aktualizacje zestawów reguł muszą być potwierdzone ręcznie.
Ustawienia komponentu Adaptacyjna kontrola anomalii
Konfiguracja Adaptacyjnej kontroli anomalii składa się z następujących kroków:
Po włączeniu Adaptacyjnej kontroli anomalii, jej reguły działają w trybie uczenia. Podczas uczenia moduł Adaptacyjna kontrola anomalii monitoruje wyzwalanie reguł i wysyła zdarzenia wyzwalające do Kaspersky Security Center. Każda reguła ma swój czas trwania trybu uczenia. Czas trwania trybu uczenia jest ustawiany przez ekspertów z Kaspersky. Zazwyczaj tryb uczenia jest aktywny przez dwa tygodnie.
Jeśli podczas treningu reguła nie została w ogóle uruchomiona, Adaptacyjna kontrola anomalii uzna działania związane z tą regułą za podejrzane. Kaspersky Endpoint Security zablokuje wszystkie działania związane z tą regułą.
Jeśli reguła została wyzwolona podczas treningu, Kaspersky Endpoint Security rejestruje zdarzenia w raporcie wyzwalającym regułę oraz w repozytorium Wywoływanie reguł w trybie Inteligentne uczenie.
Administrator analizuje raport dotyczący wyzwalania reguły lub zawartość repozytorium Wywoływanie reguł w trybie Inteligentne uczenie. Następnie administrator może wybrać zachowanie Adaptacyjnej kontroli anomalii, gdy reguła jest wyzwalana: albo zablokować, albo zezwolić. Administrator może również kontynuować monitorowanie działania reguły i wydłużyć czas trwania trybu uczenia. Jeśli administrator nie podejmie żadnych działań, aplikacja będzie również kontynuować pracę w trybie uczenia. Limit czasu trwania trybu uczenia jest następnie resetowany.
Adaptacyjna kontrola anomalii jest konfigurowana w czasie rzeczywistym. Adaptacyjna kontrola anomalii jest konfigurowana poprzez następujące kanały:
Jeśli złośliwa aplikacja spróbuje wykonać akcję, Kaspersky Endpoint Security zablokuje tę akcję i wyświetli powiadomienie (patrz rysunek poniżej).
Powiadomienie Adaptacyjnej kontroli anomalii
Algorytm działania Adaptacyjnej kontoli anomalii
Kaspersky Endpoint Security decyduje, czy zezwolić na lub zablokować działanie skojarzone z regułą opartą o następujący algorytm (patrz rysunek poniżej).
Algorytm działania Adaptacyjnej kontoli anomalii