Срабатывание правил в режиме Интеллектуального обучения

В этом разделе представлена информация об обнаружениях, выполненных правилами Адаптивного контроля аномалий Kaspersky Endpoint Security для Windows на клиентских устройствах.

Правила обнаруживают аномальное поведение на клиентских устройствах и могут блокировать его. Если правила работают в режиме Интеллектуального обучения, они обнаруживают аномальное поведение и отправляют отчеты о каждом таком случае на Сервер администрирования Kaspersky Security Center Cloud Console. Эта информация хранится в виде списка в папке Правила срабатываний в статусе Интеллектуальное обучение, вложенной в папку Хранилища. Вы можете подтвердить обнаружение как корректное или добавить его в исключения, после чего такой тип поведения не будет считаться аномальным.

Информация об обнаружениях хранится в журнале событий на Сервере администрирования (вместе с остальными событиями) и в отчете Адаптивный контроль аномалий.

Подробная информация об Адаптивном контроле аномалий, его правилах, их режимах и статусах приведена в справке Kaspersky Endpoint Security.

Просмотр списка обнаружений, выполненных с помощью правил Адаптивного контроля аномалий

Развернуть все | Свернуть все

Чтобы просмотреть список обнаружений, выполненных с помощью правил Адаптивного контроля аномалий:

1. В главном окне приложения перейдите в раздел Операции → Хранилища.
2. Перейдите по ссылке Правила срабатываний в статусе Интеллектуальное обучение.

   В списке отображается следующая информация об обнаружении, выполняемая с помощью правил Адаптивного контроля аномалий:

   • Группа администрирования

     Имя группы администрирования, в которую включено устройство.

   • Имя устройства

     Имя клиентского устройства, на котором было применено правило.

   • Имя

     Имя правила, которое было применено.

   • Статус

     Исключение – если администратор обработал это обнаружение и добавил его как исключение из правил. Этот статус остается до тех пор, пока не будет выполнена синхронизация клиентского устройства с Сервером администрирования; после синхронизации обнаружение пропадет из списка.

     Подтверждение – если администратор обработал это обнаружение и подтвердил его. Этот статус остается до тех пор, пока не будет выполнена синхронизация клиентского устройства с Сервером администрирования; после синхронизации обнаружение пропадет из списка.

     Пусто – если администратор не обработал обнаружение.

   • Имя пользователя

     Имя пользователя клиентского устройства, запустившего процесс, который сгенерировал обнаружение.

   • Обработан

     Дата обнаружения аномалии.

   • Путь исходного процесса

     Путь к исходному процессу, то есть к процессу, выполнившему действие (подобную информацию см. в справке Kaspersky Endpoint Security).

   • Хеш исходного процесса

     Хеш SHA256 исходного файла процесса (подробную информацию см. в справке Kaspersky Endpoint Security).

   • Путь исходного объекта

     Путь к объекту, который запустил процесс (подробную информацию см. в справке Kaspersky Endpoint Security).

   • Хеш исходного объекта

     Хеш SHA256 исходного файла (подробную информацию см. в справке Kaspersky Endpoint Security).

   • Путь целевого процесса

     Путь к целевому процессу (подробную информацию см. в справке Kaspersky Endpoint Security).

   • Хеш целевого процесса

     Хеш SHA256 целевого файла (подробную информацию см. в справке Kaspersky Endpoint Security).

   • Путь целевого объекта

     Путь к целевому объекту (подробную информацию см. в справке Kaspersky Endpoint Security).

   • Хеш целевого объекта

     Хеш SHA256 целевого файла (подробную информацию см. в справке Kaspersky Endpoint Security).

Чтобы просмотреть свойства каждого элемента:

1. В главном окне приложения перейдите в раздел Операции → Хранилища.
2. Перейдите по ссылке Правила срабатываний в статусе Интеллектуальное обучение.
3. В открывшемся окне выберите нужный объект.
4. Перейдите по ссылке Свойства.

В открывшемся окне свойств объекта отображается информация выбранного элемента.

Вы можете подтвердить или добавить в исключения любой объект в списке, обнаруженный правилами Адаптивного контроля аномалий.

Чтобы подтвердить объект,

выберите один или несколько элементов в списке обнаружений и нажмите на кнопку Подтвердить.

Статус элементов будет изменен на Подтверждается.

Ваше подтверждение влияет на статистику, используемую правилами (подробную информацию см. в документации Kaspersky Endpoint Security для Windows).

Чтобы добавить объект в исключения,

выберите один или несколько элементов в списке обнаружений и нажмите на кнопку Исключить.

В результате запустится мастер добавления исключений. Следуйте далее указаниям мастера.

Если вы отклоните или подтвердите объект, он будет исключен из списка обнаружений после следующей синхронизации клиентского устройства с Сервером администрирования и больше не будет отображаться в списке.

Добавление исключений в правила Адаптивного контроля аномалий

Мастер добавления исключений позволяет добавлять исключения из правил Адаптивного контроля аномалий для Kaspersky Endpoint Security для Windows.

Чтобы запустить мастер добавления исключений в папке Адаптивный контроль аномалий:

1. В главном окне приложения перейдите в раздел Операции → Хранилища → Правила срабатываний в статусе Интеллектуальное обучение.
2. В открывшемся окне в контекстном меню одного или нескольких элементов в списке обнаружений нажмите на кнопку Исключить.

   За один раз можно добавить до 1000 исключений. Если вы выберете больше элементов и попытаетесь добавить их в исключения, появится сообщение об ошибке.

В результате запустится мастер добавления исключений. Для продолжения работы мастера нажмите на кнопку Далее.