Attivazione delle regole in modalità Smart Training

Questa sezione fornisce informazioni sui rilevamenti eseguiti in base alle regole di Controllo adattivo delle anomalie in Kaspersky Endpoint Security for Windows nei dispositivi client.

Le regole rilevano i comportamenti anomali nei dispositivi client e possono bloccarli. Se le regole operano in modalità Smart Training, rilevano i comportamenti anomali e inviano i rapporti su ognuna di tali occorrenze a Kaspersky Security Center Administration Server. Queste informazioni sono archiviate come elenco nella sottocartella Attivazione delle regole con stato Smart Training della cartella Archivi. È possibile confermare i rilevamenti come corretti o aggiungerli come esclusioni, in modo che questo tipo di comportamento non venga più considerato anomalo.

Le informazioni sui rilevamenti vengono memorizzate nel registro eventi di Administration Server (insieme ad altri eventi) e nel rapporto di Controllo adattivo delle anomalie.

Per ulteriori informazioni su Controllo adattivo delle anomalie, le regole, le relative modalità e gli stati, fare riferimento alla Guida di Kaspersky Endpoint Security for Windows.

Visualizzazione dell'elenco dei rilevamenti eseguiti tramite Controllo adattivo delle anomalie

Espandi tutto | Comprimi tutto

Per visualizzare l'elenco dei rilevamenti eseguiti tramite le regole di Controllo adattivo delle anomalie:

1. Nella struttura della console selezionare il nodo dell'Administration Server desiderato.
2. Selezionare la sottocartella Attivazione delle regole con stato Smart Training (per impostazione predefinita è una sottocartella di Avanzate → Archivi).

   L'elenco visualizza le seguenti informazioni sui rilevamenti eseguiti tramite le regole di Controllo adattivo delle anomalie:

   • Gruppo di amministrazione

     Nome del gruppo di amministrazione a cui appartiene il dispositivo.

   • Nome dispositivo

     Nome del dispositivo client a cui è stata applicata la regola.

   • Nome

     Nome della regola che è stata applicata.

   • Stato

     Esclusione in corso - Se l'amministratore ha elaborato questo elemento e lo ha aggiunto come un'esclusione alle regole. Questo stato rimane fino alla successiva sincronizzazione del dispositivo client con Administration Server. Dopo la sincronizzazione, l'elemento viene rimosso dall'elenco.

     Conferma in corso - Se l'amministratore ha elaborato e confermato questo elemento. Questo stato rimane fino alla successiva sincronizzazione del dispositivo client con Administration Server. Dopo la sincronizzazione, l'elemento viene rimosso dall'elenco.

     Vuoto - Se l'amministratore non ha elaborato questo elemento.

   • Numero totale di volte in cui le regole sono state attivate

     Numero di rilevamento in una regola euristica, un processo e un dispositivo client. Questo numero viene conteggiato da Kaspersky Endpoint Security.

   • Nome utente

     Nome dell'utente del dispositivo client che ha eseguito il processo che ha generato il rilevamento.

   • Percorso del processo di origine

     Percorso del processo di origine, ovvero del processo che esegue l'azione (per ulteriori informazioni, fare riferimento alla Guida di Kaspersky Endpoint Security).

   • Hash del processo di origine

     Hash SHA-256 del file del processo di origine (per ulteriori informazioni, fare riferimento alla Guida di Kaspersky Endpoint Security).

   • Percorso dell'oggetto di origine

     Percorso dell'oggetto che ha avviato il processo (per ulteriori informazioni, fare riferimento alla Guida di Kaspersky Endpoint Security).

   • Hash dell'oggetto di origine

     Hash SHA-256 del file di origine (per ulteriori informazioni, fare riferimento alla Guida di Kaspersky Endpoint Security).

   • Percorso del processo di destinazione

     Percorso del processo di destinazione (per ulteriori informazioni, fare riferimento alla Guida di Kaspersky Endpoint Security).

   • Hash del processo di destinazione

     Hash SHA-256 del file di destinazione (per ulteriori informazioni, fare riferimento alla Guida di Kaspersky Endpoint Security).

   • Percorso dell'oggetto di destinazione

     Percorso dell'oggetto di destinazione (per ulteriori informazioni, fare riferimento alla Guida di Kaspersky Endpoint Security).

   • Hash dell'oggetto di destinazione

     Hash SHA-256 del file di destinazione (per ulteriori informazioni, fare riferimento alla Guida di Kaspersky Endpoint Security).

   • Elaborati

     Data di rilevamento dell'anomalia.

Per visualizzare le proprietà di ogni elemento di informazioni:

1. Nella struttura della console selezionare il nodo dell'Administration Server desiderato.
2. Selezionare la sottocartella Attivazione delle regole con stato Smart Training (per impostazione predefinita è una sottocartella di Avanzate → Archivi).
3. Nell'area di lavoro Attivazione delle regole con stato Smart Training selezionare l'oggetto desiderato.
4. Eseguire una delle seguenti operazioni:
   • Nella finestra delle informazioni visualizzata a destra fare clic sul collegamento Proprietà.
   • Fare clic con il pulsante destro del mouse e, nel menu di scelta rapida, selezionare Proprietà.

Verrà visualizzata la finestra delle proprietà dell'oggetto, in cui sono visualizzate le informazioni relative all'elemento selezionato.

È possibile confermare o aggiungere alle esclusioni qualsiasi elemento nell'elenco dei rilevamenti delle regole di Controllo adattivo delle anomalie.

Per confermare un elemento:

Selezionare uno o più elementi nell'elenco dei rilevamenti e fare clic sul pulsante Conferma.

Lo stato degli elementi verrà modificato in Conferma in corso.

La conferma dell'utente contribuisce alle statistiche utilizzate dalle regole (per ulteriori informazioni, fare riferimento alla Guida di Kaspersky Endpoint Security 11 for Windows).

Per aggiungere un elemento come un'esclusione:

Fare clic con il pulsante destro del mouse su uno o più elementi nell'elenco dei rilevamenti e selezionare Aggiungi alle esclusioni nel menu di scelta rapida.

Verrà avviata l'Aggiunta guidata esclusioni. Seguire le istruzioni della procedura guidata.

Se si rifiuta o si conferma un elemento, questo verrà escluso dall'elenco dei rilevamenti dopo la successiva sincronizzazione del dispositivo client con Administration Server e non sarà più visualizzato nell'elenco.

Aggiunta di esclusioni dalle regole di Controllo adattivo delle anomalie

L'Aggiunta guidata esclusioni consente di aggiungere esclusioni dalle regole di Controllo adattivo delle anomalie per Kaspersky Endpoint Security.

È possibile avviare la procedura guidata tramite una delle tre procedure riportate di seguito.

Per avviare l'Aggiunta guidata esclusioni tramite il nodo Controllo adattivo delle anomalie:

1. Nella struttura della console selezionare il nodo dell'Administration Server desiderato.
2. Selezionare Attivazione delle regole con stato Smart Training (per impostazione predefinita è una sottocartella di Avanzate → Archivi).
3. Nell'area di lavoro fare clic con il pulsante destro del mouse su uno o più elementi nell'elenco dei rilevamenti e selezionare Aggiungi alle esclusioni.

   È possibile aggiungere fino a 1.000 esclusioni alla volta. Se si selezionano più elementi e si tenta di aggiungerli alle esclusioni, viene visualizzato un messaggio di errore.

Verrà avviata l'Aggiunta guidata esclusioni.

È possibile avviare l'Aggiunta guidata esclusioni da altri nodi della struttura della console:

• Scheda Eventi della finestra principale dell'Administration Server (quindi scegliere l'opzione Richieste utente o Eventi recenti).
• Rapporto sullo stato delle regole di controllo adattivo delle anomalie, colonna Numero di rilevamenti.

Passaggio 1. Selezione dell'applicazione

Se si utilizza una sola versione di Kaspersky Endpoint Security for Windows e non sono presenti altre applicazioni che supportano le regole di Controllo adattivo delle anomalie, è possibile saltare questo passaggio.

L'Aggiunta guidata esclusioni mostra l'elenco delle applicazioni Kaspersky con plug-in di gestione che consentono di aggiungere esclusioni ai criteri per tali applicazioni. Selezionare un'applicazione da questo elenco e fare clic su Avanti per procedere alla selezione del criterio a cui aggiungere l'esclusione.

Passaggio 2. Selezione del criterio (criteri)

La procedura guidata mostra l'elenco dei criteri (con i profili criterio) per Kaspersky Endpoint Security.

Selezionare tutti i criteri e i profili per cui si desidera aggiungere le esclusioni e fare clic su Avanti.

Passaggio 3. Elaborazione del criterio (criteri)

La procedura guidata visualizza una barra di avanzamento mentre i criteri vengono elaborati. È possibile interrompere l'elaborazione dei criteri facendo clic sul pulsante Annulla.

I criteri ereditati non possono essere aggiornati. Se non si dispone dei diritti per la modifica di un criterio, tale criterio non verrà aggiornato.

Al termine dell'elaborazione di tutti i criteri (o se si interrompe l'elaborazione), viene visualizzato un rapporto. Il rapporto mostra i criteri che sono stati aggiornati correttamente (icona verde) e quelli che non sono stati aggiornati (icona rossa).

Questo è l'ultimo passaggio della procedura guidata. Fare clic su Fine per chiudere la procedura guidata.