Содержание
Адаптивный контроль аномалий
В этом разделе приведена информация об Адаптивном контроле аномалий.
Функция Адаптивный контроль аномалий отслеживает и блокирует действия, не характерные для Windows-устройств в сети компании.
Эта функция доступна, только если программа Kaspersky Endpoint Security Cloud активирована в рамках лицензии Kaspersky Endpoint Security Cloud Pro.
Об Адаптивном контроле аномалий
Kaspersky Endpoint Security Cloud отслеживает и блокирует действия, не характерные для Windows-устройств в сети компании.
Эта функция доступна, только если программа Kaspersky Endpoint Security Cloud активирована в рамках лицензии Kaspersky Endpoint Security Cloud Pro.
Адаптивный контроль аномалий отслеживает нехарактерное поведение с помощью набора правил (например, правило Запуск Microsoft PowerShell из офисного приложения). Правила создаются экспертами "Лаборатории Касперского" на основе типовых сценариев активности вредоносных программ. Вы можете настроить способ обработки каждого правила с помощью Адаптивного контроля аномалий, и, например, разрешить выполнение скриптов PowerShell, которые автоматизируют определенные задачи рабочего процесса. Kaspersky Endpoint Security Cloud обновляет набор правил вместе с базами программы.
Каждое правило Адаптивного контроля аномалий может применяться в одном из следующих режимов:
- Уведомлять
Обнаружения в результате срабатывания этого правила только добавляются в журнал событий. Никаких других действий не выполняется.
- Запрещать
Выполняется блокировка всех действий, связанных с правилом.
- Интеллектуальный режим
Сначала происходит обучение правила: указывается, являются ли обнаружения правила нехарактерным поведением или ложными срабатываниями. По окончании обучения выполняется разрешение или блокировка дальнейших действий в зависимости от результатов обучения.
Вы можете включить и настроить Адаптивный контроль аномалий. Когда функция обнаруживает нехарактерное поведение, вы можете обработать список обнаружений и либо подтвердить их, либо добавить в исключения, в зависимости от того, действительно ли обнаружение является аномальным поведением.
Kaspersky Endpoint Security Cloud также предоставляет два отчета, связанных с этой функцией.
В началоНастройка Адаптивного контроля аномалий
Чтобы настроить Адаптивный контроль аномалий, выполните следующие действия:
- Запустите Консоль Управления Kaspersky Endpoint Security Cloud.
- Выберите раздел Управление безопасностью → Профили безопасности.
В разделе Профили безопасности содержится список профилей безопасности, настроенных в Kaspersky Endpoint Security Cloud.
- Выберите в списке профиль безопасности для устройств, на которых вы хотите настроить Адаптивный контроль аномалий.
- По ссылке с именем профиля откройте окно свойств профиля безопасности.
В окне свойств профиля безопасности отобразятся параметры, доступные для всех устройств.
- В группе Windows выберите раздел Параметры управления.
- Установите переключатель в положение Адаптивный контроль аномалий включен.
- Перейдите по ссылке Параметры под переключателем Адаптивный контроль аномалий включен.
Откроется страница параметров компонента Адаптивный контроль аномалий.
- Включите или отключите необходимые правила Адаптивного контроля аномалий:
- Чтобы включить правило, переведите переключатель в столбце Статус в положение "включено".
- Чтобы отключить правило, переведите в положение "выключено" переключатель в столбце Статус.
- В столбце Действие выберите режим применения для каждого правила:
- Уведомлять
Обнаружения в результате срабатывания этого правила только добавляются в журнал событий. Никаких других действий не выполняется.
- Запрещать
Выполняется блокировка всех действий, связанных с правилом.
- Интеллектуальный режим
Сначала происходит обучение правила: указывается, являются ли обнаружения правила нехарактерным поведением или ложными срабатываниями. По окончании обучения выполняется разрешение или блокировка дальнейших действий в зависимости от результатов обучения.
- Уведомлять
- При необходимости измените исключения из правил.
- Нажмите на кнопку Сохранить.
После применения профиля безопасности на Windows-устройствах будет включен и настроен компонент Адаптивный контроль аномалий.
В началоИзменение исключений из правил Адаптивного контроля аномалий
Вы можете добавлять, изменять и удалять исключения из правил Адаптивного контроля аномалий.
Добавление исключений
Исключения можно добавить одним из следующих способов:
- При обработке обнаружений Адаптивного контроля аномалий.
- При настройке Адаптивного контроля аномалий, как описано далее в этом разделе.
Чтобы добавить исключение в правило Адаптивного контроля аномалий:
- Перейдите на страницу параметров Адаптивного контроля аномалий.
- Установите флажок рядом с требуемым правилом.
- Нажмите на кнопку Редактировать.
Откроется окно Исключения из правила <имя правила>.
- Нажмите на кнопку Добавить.
Откроется окно Добавить исключение.
- Настройте параметры исключения:
- Исходный процесс и Исходный объект
Объект, выполнивший обнаруженные действия (например, файл, открытый пользователем).
- Целевой процесс и Целевой объект
Объект, над которым были выполнены обнаруженные действия (например, браузер, использующий библиотеку, загружаемую в память компьютера в результате открытия файла).
- Исходный процесс и Исходный объект
- Нажмите на кнопку OК, чтобы закрыть окно Добавить исключение.
Добавленная запись появится в списке исключений в окне Исключения из правила <название правила>.
Изменение исключений
Чтобы изменить исключение для правила Адаптивного контроля аномалий:
- Перейдите на страницу параметров Адаптивного контроля аномалий.
- Установите флажок рядом с требуемым правилом.
- Нажмите на кнопку Редактировать.
Откроется окно Исключения из правила <имя правила>.
- Установите флажок рядом с требуемым исключением.
- Нажмите на кнопку Редактировать.
Откроется окно Добавить исключение. Оно содержит сведения о выбранном исключении.
- Внесите необходимые изменения.
- Нажмите на кнопку OК, чтобы закрыть окно Добавить исключение.
Измененная запись появится в списке исключений в окне Исключения из правила <название правила>.
Удаление исключений
Может потребоваться удалить исключение из правила Адаптивного контроля аномалий, если, например, оно было добавлено по ошибке.
Чтобы удалить исключения из правила Адаптивного контроля аномалий, выполните следующие действия:
- Перейдите на страницу параметров Адаптивного контроля аномалий.
- Установите флажок рядом с требуемым правилом.
- Нажмите на кнопку Редактировать.
Откроется окно Исключения из правила <имя правила>.
- Установите флажки рядом с требуемыми исключениями.
- Нажмите на кнопку Удалить.
Удаленные исключения исчезнут из списка исключений в окне Исключения из правила <название правила>.
В началоСценарий: Настройка правил Адаптивного контроля аномалий в режиме Интеллектуальный режим
Настройка правил Адаптивного контроля аномалий происходит поэтапно:
- Обучение
После включения Адаптивного контроля аномалий его правилам присваивается статус "Интеллектуальное обучение". В процессе обучения Адаптивный контроль аномалий отслеживает обнаружения, произошедшие при срабатывании правила, и отправляет события обнаружения на сервер.
Если во время обучения правило ни разу не сработало на определенном устройстве, Адаптивный контроль аномалий считает действия, связанные с этим правилом, нехарактерными. Kaspersky Endpoint Security Cloud блокирует все действия, связанные с этим правилом на этом устройстве.
Если во время обучения сработало правило, Kaspersky Endpoint Security Cloud добавляет события в отчет об обнаружениях и в хранилище Обнаружения при срабатывании правил компонента Адаптивный контроль аномалий в Карантине.
- Обработка списка обнаружений
Проанализируйте список обнаружений в хранилище Обнаружения при срабатывании правил компонента Адаптивный контроль аномалий. Для каждого обнаружения выполните одно из следующих действий:
- Если обнаружение не является аномальным, добавьте его в исключения. В результате это обнаружение и все обнаружения этого объекта на других устройствах будут удалены из списка. В дальнейшем этот объект не будет обнаруживаться на устройствах пользователей.
Можно добавить не более 1000 исключений суммарно для всех правил.
- Если обнаружение действительно аномальное, подтвердите его. В результате обнаружение будет удалено из списка. В дальнейшем, если этот объект будет обнаружен на этом или другом устройстве, он снова появится в списке обнаружений.
- Если обнаружение не является аномальным, добавьте его в исключения. В результате это обнаружение и все обнаружения этого объекта на других устройствах будут удалены из списка. В дальнейшем этот объект не будет обнаруживаться на устройствах пользователей.
Для каждого правила существует продолжительность обучения, задаваемая специалистами "Лаборатории Касперского". Обычно обучение длится две недели. Время обучения рассчитывается отдельно для каждого устройства только во время работы Kaspersky Endpoint Security для Windows на устройстве. Например, если обучение на устройстве длилось неделю, а затем устройство было выключено в течение месяца, вторая неделя обучения начнется при повторном включении устройства.
Обучение правила на устройстве завершается, когда за время обучения не остается необработанных обнаружений. Поэтому рекомендуется обрабатывать обнаружения не реже одного раза в неделю.
В началоОбработка обнаружений Адаптивного контроля аномалий
При обучении правил Адаптивного контроля аномалий в режиме Интеллектуальный режим события, соответствующие обнаружениям, добавляются в хранилище Обнаружения при срабатывании правил компонента Адаптивный контроль аномалий в Карантине. При обработке списка обнаружений можно либо подтвердить их, либо добавить в исключения, в зависимости от того, действительно ли обнаружение является аномальным поведением.
Рекомендуется обрабатывать обнаружения не реже одного раза в неделю. В противном случае обучение правил может никогда не завершиться, и блокировка вредоносной активности на устройствах в соответствии с правилами может никогда не начаться.
Чтобы обработать обнаружения Адаптивного контроля аномалий, выполните следующие действия:
- Запустите Консоль Управления Kaspersky Endpoint Security Cloud.
- Выберите раздел Карантин.
Раздел Карантин содержит список объектов, относящихся к следующим категориям: Карантин и резервное хранилище, Необработанные файлы и Обнаружения при срабатывании правил компонента Адаптивный контроль аномалий.
- В раскрывающемся списке Категория файлов выберите Обнаружения при срабатывании правил компонента Адаптивный контроль аномалий.
На странице отобразятся все активные обнаружения, которые не были обработаны.
Из отображаемой таблицы можно перейти к следующим данным:
- Свойства устройства, на котором произошло обнаружение.
- Параметры профиля безопасности, назначенного пользователю, которому принадлежит затронутое устройство.
- Подробная информация об обнаружении.
- Щелкните ссылку в столбце Обнаруженный объект, чтобы просмотреть подробную информацию об обнаружении.
Откроется окно Информация об обнаружении.
- Проанализируйте информацию об обнаружении.
- Выполните одно из следующих действий:
- Если обнаружение не является аномальным, добавьте его в исключения. В результате это обнаружение и все обнаружения этого объекта на других устройствах будут удалены из списка. В дальнейшем этот объект не будет обнаруживаться на устройствах пользователей.
Можно добавить не более 1000 исключений суммарно для всех правил.
- Если обнаружение действительно аномальное, подтвердите его. В результате обнаружение будет удалено из списка. В дальнейшем, если этот объект будет обнаружен на этом или другом устройстве, он снова появится в списке обнаружений.
- Если обнаружение не является аномальным, добавьте его в исключения. В результате это обнаружение и все обнаружения этого объекта на других устройствах будут удалены из списка. В дальнейшем этот объект не будет обнаруживаться на устройствах пользователей.
- При необходимости обработайте другое обнаружение.
Обнаружения обработаны.
В начало