アダプティブアノマリーコントロール
このコンポーネントは、ワークステーション用の Windows で動作するコンピューターに Kaspersky Endpoint Security がインストールされている場合に利用できます。このコンポーネントは、サーバー用の Windows で動作するコンピューターに Kaspersky Endpoint Security がインストールされている場合は利用できません。
アダプティブアノマリーコントロールは、企業のネットワーク内にあるコンピューターで一般的には発生しないはずの動作の監視とブロックを行います。アダプティブアノマリーコントロールでは、一般的には発生しないはずの異常な動作を監視するための複数のルール(「Office アプリケーションによる Microsoft PowerShell の起動」ルールなど)を使用します。これらのルールは、カスペルスキーのスペシャリストによって、悪意のあるソフトウェアが示す典型的な動作に基づいて作成されています。アダプティブアノマリーコントロールの設定で、それぞれのルールで実行する処理を指定できます。たとえば、業務プロセスの自動化で使用されている PowerShell スクリプトはルールの適用対象から除外するように設定することができます。Kaspersky Endpoint Security は、定義データベースをアップデートするのと同様に、アダプティブアノマリーコントロールルールも Kaspersky から提供されている最新のルールにアップデートします。ルールのアップデートの適用は手動で承認する必要があります。
アダプティブアノマリーコントロールの設定
アダプティブアノマリーコントロールの設定では、次のステップが必要です:
- アダプティブアノマリーコントロールのトレーニング
アダプティブアノマリーコントロールを有効にすると、アダプティブアノマリーコントロールルールがトレーニングモードで動作します。トレーニング期間中、アダプティブアノマリーコントロールはルールを適用可能な動作が発生するかどうかを監視し、ルールを適用可能な動作が発生したらそのイベントを Kaspersky Security Center に送信します。ルールごとに、設定されているトレーニング期間は異なります。トレーニングモードの継続期間はカスペルスキーのエキスパートが設定しています。通常は、トレーニングモードの継続期間は 2 週間です。
特定のルールを適用可能な動作がトレーニング期間中に 1 回も発生しなかった場合、アダプティブアノマリーコントロールは、そのルールの対象となる動作は平常時には発生しない動作だと判断します。そのため、トレーニング終了後、該当するルールの適用対象となる動作はすべて Kaspersky Endpoint Security でブロックされるようになります。
特定のルールを適用可能な動作がトレーニング期間中に発生した場合、Kaspersky Endpoint Security は「ルールの適用のレポート」と[スマートトレーニングでのルールの適用状況]リポジトリにイベントのログ記録を保存します。
- 「ルールの適用のレポート」の分析
管理者は「ルールの適用のレポート」または[スマートトレーニングでのルールの適用状況]リポジトリの内容を分析する必要があります。分析結果に基づき、管理者はそれぞれのルールが適用されたときのアダプティブアノマリーコントロールによる処理を、「ブロック」または「許可」から選択します。管理者は、ルールの適用状況に関する情報をさらに収集した上で判断を行うたために、トレーニングモードの期間を延長することもできます。また、管理者がルールの適用状況のレポートに対する対応を行わなかった場合も、アダプティブアノマリーコントロールは引き続きトレーニングモードで動作します。トレーニングモードの残り期間もリセットされます。
アダプティブアノマリーコントロールの設定内容は、即座に動作に反映されます。アダプティブアノマリーコントロールの設定は、自動的に設定される場合と手動で設定する場合を合わせて、次の方法で設定されます:
- トレーニングモードの期間中に 1 回も適用可能な動作が発生しなかったルールについては、該当するルールが適用可能な動作をすべてブロックする設定が自動的に行われる。
- 新しいルールの追加や古くなったルールの削除が Kaspersky Endpoint Security によって行われる。
- 管理者がルール適用のレポートまたはスマートトレーニングでのルールの適用状況リポジトリの内容を確認した後、アダプティブアノマリーコントロールによる処理を設定します。ルール適用のレポートおよびスマートトレーニングでのルールの適用状況リポジトリの内容を確認することを推奨します。
悪意のあるアプリケーションによる動作が検知された場合、Kaspersky Endpoint Security はその動作をブロックし通知を表示します(以下の図を参照)。
アダプティブアノマリーコントロールの通知
アダプティブアノマリーコントロールの動作アルゴリズム
Kaspersky Endpoint Security は次の図のアルゴリズムに従って、ルールの適用対象となる動作の実行を許可するかブロックするかを判定します。
アダプティブアノマリーコントロールの動作アルゴリズム
アダプティブアノマリーコントロールの設定
パラメータ | 説明 |
|---|---|
アダプティブアノマリーコントロールルールのステータスに関するレポート (Kaspersky Security Center コンソール内でのみ利用可能) | このレポートにはアダプティブアノマリーコントロールの検知ルールの状態に関する情報が表示されます(ルールの状態が「無効」または「ブロック」など)。このレポートはすべての管理グループを対象に生成されます。 |
アダプティブアノマリーコントロールルールの適用に関するレポート (Kaspersky Security Center コンソール内でのみ利用可能) | このレポートには、アダプティブアノマリーコントロールを使用して検知された典型的でない動作に関する情報が含まれています。このレポートはすべての管理グループを対象に生成されます。 |
ルール | アダプティブアノマリーコントロールのルールのリスト。これらのルールは、カスペルスキーのスペシャリストによって、マルウェアの可能性があるプログラムが示す典型的な動作に基づいて作成されています。 |
テンプレート | ブロックに関するメッセージ:典型的でない動作をブロックするアダプティブアノマリーコントロールルールが適用された際に表示されるメッセージのテンプレート。 管理者に送信するメッセージ:ブロックが誤検知だと考えられる場合に、社内のローカルネットワークの管理者に送信できるメッセージのテンプレート。ユーザーがアクセス権を要求した後、Kaspersky Endpoint Security は Kaspersky Security Center にイベントを送信します:アプリケーションの動作ブロックに関するメッセージが管理者に送信されました。このイベントの説明には、代用変数を含む管理者へのメッセージが含まれます。これらのイベントは、事前定義されたイベント抽出[ユーザー要求]を使用して Kaspersky Security Center コンソールで確認できます。組織で Kaspersky Security Center が導入されていない、または管理サーバーに接続されていない場合は、本製品は指定されたメールアドレスの管理者にメッセージを送信します。 |