Kaspersky Security Center 云控制台

智能培训模式中的规则触发

该部分提供了客户端设备上的 Kaspersky Endpoint Security for Windows 中的自适应异常控制规则执行的检测信息。

规则检测客户端设备上的异常行为并可能阻止它。如果规则工作在智能培训模式,它们检测异常行为并发送每个检测的报告到 Kaspersky Security Center 云控制台管理服务器。该信息作为列表存储在存储库文件夹的智能培训状态下的规则触发器子文件夹中。您可以确认检测为正确添加它们为排除,因此该行为类型不再被认为是异常。

检测信息存储在管理服务器的事件日志中(与其他事件一起)和自适应异常控制报告中。

关于自适应异常控制、规则以及它们的模式和状态的更多信息,请参阅 Kaspersky Endpoint Security 帮助

在本部分中

查看使用自适应异常控制规则执行的检测列表

从自适应异常控制规则添加排除

另请参阅:

管理客户端设备

方案:配置网络保护

页顶
[Topic 172869]

查看使用自适应异常控制规则执行的检测列表

扩展所有 | 折叠所有

要查看使用自适应异常控制规则执行的检测列表:

  1. 在主菜单中,转到“操作”→“存储库”。
  2. 单击智能培训状态下的规则触发器链接。

    列表显示使用自适应异常控制规则执行的检测的以下信息:

    • 管理组

      设备所属管理组的名称。

    • 设备名称

      应用规则的客户端设备名称。

    • 名称

      应用的规则名称。

    • 状态

      正在排除—如果管理员处理该条目并添加其到排除规则列表。该状态保持到下一次客户端设备与管理服务器同步时,同步之后,该条目从列表消失。

      正在确认—如果管理员处理该条目并确认。该状态保持到下一次客户端设备与管理服务器同步时,同步之后,该条目从列表消失。

      空—如果管理员不处理该条目。

    • 用户名

      运行进程的生成检测的客户端设备用户名称。

    • 已处理

      异常被检测的日期

    • 源进程路径

      源进程路径,例如,执行操作的进程路径(更多信息请参阅 Kaspersky Endpoint Security 帮助)。

    • 源进程哈希

      源进程文件的 SHA256 哈希(更多信息请参阅 Kaspersky Endpoint Security 帮助)。

    • 源对象路径

      启动进程的对象路径(更多信息请参阅 Kaspersky Endpoint Security 帮助)。

    • 源对象哈希

      源文件的 SHA256 哈希(更多信息请参阅 Kaspersky Endpoint Security 帮助)。

    • 目标进程路径

      目标进程的路径(更多信息请参阅 Kaspersky Endpoint Security 帮助)。

    • 目标进程哈希

      目标文件的 SHA256 哈希(更多信息请参阅 Kaspersky Endpoint Security 帮助)。

    • 目标对象路径

      目标对象的路径(更多信息请参阅 Kaspersky Endpoint Security 帮助)。

    • 目标对象哈希

      目标文件的 SHA256 哈希(更多信息请参阅 Kaspersky Endpoint Security 帮助)。

要查看每个信息元素的属性:

  1. 在主菜单中,转到操作 → 存储库
  2. 单击智能培训状态下的规则触发器链接。
  3. 在打开的窗口中,选择您需要的对象。
  4. 单击“属性”链接。

对象属性窗口打开,显示关于已选择元素的信息。

您可以确认或添加到排除自适应异常控制规则检测列表的任何元素。

要确认元素,

在检测列表中选择元素并点击“确认”按钮。

元素的状态被更改为“正在确认”。

您的确认将被统计到规则使用的统计信息(对于更多信息请参阅 Kaspersky Endpoint Security for Windows 文档)。

要添加元素作为排除,

在检测列表中选择元素并点击“排除”按钮。

添加排除向导启动。遵照向导的说明操作。

如果您拒绝或确认检测,它将在下一次客户端设备与管理服务器同步时被从检测列表中排除,且它将不再出现在列表。

另请参阅:

智能培训模式中的规则触发

方案:配置网络保护

页顶
[Topic 172650]

从自适应异常控制规则添加排除

添加排除向导允许您从 Kaspersky Endpoint Security for Windows 自适应异常控制规则添加排除。

要通过自适应异常控制节点启动添加排除向导:

  1. 在主菜单中,进入操作存储库智能培训状态下的规则触发器
  2. 在打开的窗口中,选择检测列表中的一个元素(或多个元素),然后单击排除按钮。

    您可以一次添加 1000 个排除项。如果您选择更多元素且尝试添加它们到排除,将显示错误消息。

添加排除向导启动。使用“下一步”按钮继续向导操作。

另请参阅:

智能培训模式中的规则触发

方案:配置网络保护

页顶
[Topic 173182]