智能培训模式中的规则触发
该部分提供了客户端设备上的 Kaspersky Endpoint Security for Windows 中的自适应异常控制规则执行的检测信息。
规则检测客户端设备上的异常行为并可能阻止它。如果规则工作在智能培训模式,它们检测异常行为并发送每个检测的报告到 Kaspersky Security Center 云控制台管理服务器。该信息作为列表存储在存储库文件夹的智能培训状态下的规则触发器子文件夹中。您可以确认检测为正确或添加它们为排除,因此该行为类型不再被认为是异常。
检测信息存储在管理服务器的事件日志中(与其他事件一起)和自适应异常控制报告中。
关于自适应异常控制、规则以及它们的模式和状态的更多信息,请参阅 Kaspersky Endpoint Security 帮助。
查看使用自适应异常控制规则执行的检测列表
要查看使用自适应异常控制规则执行的检测列表:
- 在主菜单中,转到“操作”→“存储库”。
- 单击智能培训状态下的规则触发器链接。
列表显示使用自适应异常控制规则执行的检测的以下信息:
要查看每个信息元素的属性:
- 在主菜单中,转到操作 → 存储库。
- 单击智能培训状态下的规则触发器链接。
- 在打开的窗口中,选择您需要的对象。
- 单击“属性”链接。
对象属性窗口打开,显示关于已选择元素的信息。
您可以确认或添加到排除自适应异常控制规则检测列表的任何元素。
要确认元素,
在检测列表中选择元素并点击“确认”按钮。
元素的状态被更改为“正在确认”。
您的确认将被统计到规则使用的统计信息(对于更多信息请参阅 Kaspersky Endpoint Security for Windows 文档)。
要添加元素作为排除,
在检测列表中选择元素并点击“排除”按钮。
添加排除向导启动。遵照向导的说明操作。
如果您拒绝或确认检测,它将在下一次客户端设备与管理服务器同步时被从检测列表中排除,且它将不再出现在列表。
从自适应异常控制规则添加排除
添加排除向导允许您从 Kaspersky Endpoint Security for Windows 自适应异常控制规则添加排除。
要通过自适应异常控制节点启动添加排除向导:
- 在主菜单中,进入操作→存储库→智能培训状态下的规则触发器。
- 在打开的窗口中,选择检测列表中的一个元素(或多个元素),然后单击排除按钮。
您可以一次添加 1000 个排除项。如果您选择更多元素且尝试添加它们到排除,将显示错误消息。
添加排除向导启动。使用“下一步”按钮继续向导操作。