Informacje o module Adaptacyjna kontrola anomalii

Komponent Adaptacyjna kontrola anomalii jest dostępny tylko dla Kaspersky Endpoint Security for Business Advanced i Kaspersky Total Security for Business (więcej informacji o produktach Kaspersky Endpoint Security dla biznesu znajdziesz na stronie internetowej Kaspersky).

Komponent Adaptacyjna kontrola anomalii monitoruje i blokuje podejrzane działania, które nie są typowe dla komputerów w sieci firmowej. Adaptacyjna kontrola anomalii wykorzystuje zestaw reguł do śledzenia nietypowych zachowań (na przykład, reguła Uruchom Microsoft PowerShell z aplikacji biurowych). Reguły są tworzone przez specjalistów z Kaspersky w oparciu o typowe scenariusze złośliwej aktywności. Można skonfigurować, w jaki sposób Adaptacyjna kontrola aplikacji obsługuje każdą regułę i, na przykład, zezwolić na wykonywanie skryptów PowerShell, które automatyzują określone zadania przepływu pracy. Kaspersky Endpoint Security aktualizuje zestaw reguł wraz z bazami danych aplikacji. Aktualizacje zestawów reguł muszą być potwierdzone ręcznie.

Ustawienia komponentu Adaptacyjna kontrola anomalii

Konfiguracja Adaptacyjnej kontroli anomalii składa się z następujących kroków:

  1. Uczenie modułu Adaptacyjna kontrola anomalii.

    Po włączeniu Adaptacyjnej kontroli anomalii, jej reguły działają w trybie uczenia. Podczas uczenia moduł Adaptacyjna kontrola anomalii monitoruje wyzwalanie reguł i wysyła zdarzenia wyzwalające do Kaspersky Security Center. Każda reguła ma swój czas trwania trybu uczenia. Czas trwania trybu uczenia jest ustawiany przez ekspertów z Kaspersky. Zazwyczaj tryb uczenia jest aktywny przez dwa tygodnie.

    Jeśli podczas treningu reguła nie została w ogóle uruchomiona, Adaptacyjna kontrola anomalii uzna działania związane z tą regułą za podejrzane. Kaspersky Endpoint Security zablokuje wszystkie działania związane z tą regułą.

    Jeśli reguła została wyzwolona podczas treningu, Kaspersky Endpoint Security rejestruje zdarzenia w raporcie wyzwalającym regułę oraz w repozytorium Wywoływanie reguł w trybie Inteligentne uczenie.

  2. Analizowanie raportu dotyczącego wyzwalania reguły.

    Administrator analizuje raport dotyczący wyzwalania reguły lub zawartość repozytorium Wywoływanie reguł w trybie Inteligentne uczenie. Następnie administrator może wybrać zachowanie Adaptacyjnej kontroli anomalii, gdy reguła jest wyzwalana: albo zablokować, albo zezwolić. Administrator może również kontynuować monitorowanie działania reguły i wydłużyć czas trwania trybu uczenia. Jeśli administrator nie podejmie żadnych działań, aplikacja będzie również kontynuować pracę w trybie uczenia. Limit czasu trwania trybu uczenia jest następnie resetowany.

Adaptacyjna kontrola anomalii jest konfigurowana w czasie rzeczywistym. Adaptacyjna kontrola anomalii jest konfigurowana poprzez następujące kanały:

Jeśli złośliwa aplikacja spróbuje wykonać akcję, Kaspersky Endpoint Security zablokuje tę akcję i wyświetli powiadomienie (patrz rysunek poniżej).

KES11_AAC_Notification

Powiadomienie Adaptacyjnej kontroli anomalii

Algorytm działania Adaptacyjnej kontoli anomalii

Kaspersky Endpoint Security decyduje, czy zezwolić na lub zablokować działanie skojarzone z regułą opartą o następujący algorytm (patrz rysunek poniżej).

KES11_Adaptive_Control_Algorithm

Algorytm działania Adaptacyjnej kontoli anomalii

W tej sekcji:

Włączanie i wyłączanie Adaptacyjnej kontroli anomalii

Działania z użyciem reguł Adaptacyjnej kontroli anomalii

Modyfikowanie szablonów wiadomości Adaptacyjnej kontroli anomalii

Przejdź do góry