Обработка обнаружений Адаптивного контроля аномалий
При обучении правил Адаптивного контроля аномалий в режиме Интеллектуальный режим события, соответствующие обнаружениям, добавляются в хранилище Обнаружения при срабатывании правил компонента Адаптивный контроль аномалий в Карантине. При обработке списка обнаружений можно либо подтвердить их, либо добавить в исключения, в зависимости от того, действительно ли обнаружение является аномальным поведением.
Рекомендуется обрабатывать обнаружения не реже одного раза в неделю. В противном случае обучение правил может никогда не завершиться, и блокировка вредоносной активности на устройствах в соответствии с правилами может никогда не начаться.
Чтобы обработать обнаружения Адаптивного контроля аномалий, выполните следующие действия:
- Запустите Консоль Управления Kaspersky Endpoint Security Cloud.
- Выберите раздел Карантин.
Раздел Карантин содержит список объектов, относящихся к следующим категориям: Карантин и резервное хранилище, Необработанные файлы и Обнаружения при срабатывании правил компонента Адаптивный контроль аномалий.
- В раскрывающемся списке Категория файлов выберите Обнаружения при срабатывании правил компонента Адаптивный контроль аномалий.
На странице отобразятся все активные обнаружения, которые не были обработаны.
Из отображаемой таблицы можно перейти к следующим данным:
- Свойства устройства, на котором произошло обнаружение.
- Параметры профиля безопасности, назначенного пользователю, которому принадлежит затронутое устройство.
- Подробная информация об обнаружении.
- Щелкните ссылку в столбце Обнаруженный объект, чтобы просмотреть подробную информацию об обнаружении.
Откроется окно Информация об обнаружении.
- Проанализируйте информацию об обнаружении.
- Выполните одно из следующих действий:
- Если обнаружение не является аномальным, добавьте его в исключения. В результате это обнаружение и все обнаружения этого объекта на других устройствах будут удалены из списка. В дальнейшем этот объект не будет обнаруживаться на устройствах пользователей.
Можно добавить не более 1000 исключений суммарно для всех правил.
- Если обнаружение действительно аномальное, подтвердите его. В результате обнаружение будет удалено из списка. В дальнейшем, если этот объект будет обнаружен на этом или другом устройстве, он снова появится в списке обнаружений.
- Если обнаружение не является аномальным, добавьте его в исключения. В результате это обнаружение и все обнаружения этого объекта на других устройствах будут удалены из списка. В дальнейшем этот объект не будет обнаруживаться на устройствах пользователей.
- При необходимости обработайте другое обнаружение.
Обнаружения обработаны.
В начало