Control de anomalías adaptativo

para Windows

El componente Control de anomalías adaptativo detecta y bloquea acciones que no son típicas de los equipos conectados a una red corporativa. Para ello utiliza una serie de reglas, diseñadas para buscar comportamientos que no se consideran típicos (por ejemplo, la regla Inicio de Microsoft PowerShell desde una aplicación de oficina). Los especialistas de Kaspersky crean estas reglas basándose en casos característicos de actividad maliciosa. La manera en que el Control de anomalías adaptativo responde ante cada regla es configurable; esto significa que, por ejemplo, es posible permitir la ejecución de scripts de PowerShell que se hayan creado para automatizar ciertos aspectos de un flujo de trabajo. Las reglas se actualizan junto con las bases de datos de Kaspersky Endpoint Security.

Los pasos para configurar el Control de anomalías adaptativo son los siguientes:

Usar el modo de aprendizaje del Control de anomalías adaptativo.
Una vez que el Control de anomalías adaptativo se habilita, sus reglas entran en un modo de aprendizaje. Durante el entrenamiento, el Control de anomalías adaptativo supervisa la activación de las reglas y envía los eventos de activación al servidor. El tiempo de aprendizaje varía según la regla. Quienes definen la duración son los expertos de Kaspersky. Lo normal es que el modo de aprendizaje esté activo por dos semanas.

Si una regla no se activa en lo absoluto durante el período de aprendizaje, el componente considerará que las acciones asociadas con la regla son atípicas. En consecuencia, Kaspersky Endpoint Security bloqueará cualquier acción vinculada con esa regla.

Si la regla se activa durante el entrenamiento, Kaspersky Endpoint Security registra los eventos en el informe de activación de la regla y en el almacenamiento de detección del Control de anomalías adaptativo.
Analizar el informe de activación de las reglas.
El administrador analiza el informe de activación de reglas o el contenido del almacenamiento de detección del Control de anomalías adaptativo. A continuación, selecciona cómo reaccionará el Control de anomalías adaptativo cuando se active una regla; las opciones posibles son permitir y bloquear. El administrador también puede optar por seguir controlando el funcionamiento de la regla y extender la duración del modo de aprendizaje. Si el administrador no realiza ninguna acción, la aplicación seguirá operando en modo de aprendizaje. El plazo de aprendizaje se reiniciará.

El componente Control de anomalías adaptativo se configura en tiempo real. Los canales de configuración son los siguientes:

El Control de anomalías adaptativo comienza a bloquear automáticamente las acciones asociadas con las reglas que nunca se activaron en el modo de aprendizaje.
Kaspersky Endpoint Security agrega reglas nuevas o elimina las que han quedado obsoletas.

El administrador configura el Control de anomalías adaptativo después de analizar el informe de activación de la regla y el contenido del almacenamiento de detección del Control de anomalías adaptativo. Recomendamos consultar el informe de activación de reglas y el contenido del almacenamiento de detección del Control de anomalías adaptativo.

Configuración de Control de anomalías adaptativo para Pro View

Parámetro	SO	Descripción
Ver informe → Estado de las reglas	`Windows`	Informe sobre el estado asignado a las reglas de detección del Control de anomalías adaptativo (por ejemplo, Deshabilitado o Bloquear). El informe se genera para todos los grupos de administración.
Ver informe → Detecciones	`Windows`	Informe sobre las acciones atípicas detectadas por el Control de anomalías adaptativo. El informe se genera para todos los grupos de administración.
Reglas	`Windows`	Tabla de reglas del Control de anomalías adaptativo. Los especialistas de Kaspersky crean estas reglas basándose en casos característicos de actividad maliciosa. Las reglas de Control de anomalías adaptativo pueden funcionar en uno de los siguientes modos: Informar. La aplicación permite la actividad contemplada en la regla y registra la entrada correspondiente. Bloquear. La aplicación bloquea la actividad contemplada en la regla y registra la entrada correspondiente. Inteligente. La regla funciona en el estado de Aprendizaje inteligente durante el período de tiempo definido por los expertos de Kaspersky. En este modo, cuando se activa la regla, la aplicación permite la actividad contemplada en la regla y registra una entrada en el almacenamiento de detección del Control de anomalías adaptativo. Al finalizar el aprendizaje, se permiten o bloquean más acciones según los resultados de este. Puede definir exclusiones para las reglas del Control de anomalías adaptativo. Una exclusión de una regla del Control de anomalías adaptativo incluye una descripción de los objetos de origen y de destino. El objeto de origen es el que realiza las acciones. El objeto de destino es el que se ve afectado por dichas acciones. Por ejemplo, abre un archivo de nombre `file.xlsx`. Por lo tanto, se carga un archivo de la biblioteca con la extensión DLL en la memoria del equipo. Un navegador utiliza esta biblioteca (cuyo archivo ejecutable es `browser.exe`). En este ejemplo, `file.xlsx` es el objeto de origen, Excel es el proceso de origen, `browser.exe` es el objeto de destino y Navegador es el proceso de destino.

Parámetro

Descripción

Ver informe → Estado de las reglas

Windows

Informe sobre el estado asignado a las reglas de detección del Control de anomalías adaptativo (por ejemplo, Deshabilitado o Bloquear). El informe se genera para todos los grupos de administración.

Ver informe → Detecciones

Windows

Informe sobre las acciones atípicas detectadas por el Control de anomalías adaptativo. El informe se genera para todos los grupos de administración.

Reglas

Windows

Tabla de reglas del Control de anomalías adaptativo. Los especialistas de Kaspersky crean estas reglas basándose en casos característicos de actividad maliciosa.

Las reglas de Control de anomalías adaptativo pueden funcionar en uno de los siguientes modos:

Informar.
La aplicación permite la actividad contemplada en la regla y registra la entrada correspondiente.
Bloquear.
La aplicación bloquea la actividad contemplada en la regla y registra la entrada correspondiente.
Inteligente.
La regla funciona en el estado de Aprendizaje inteligente durante el período de tiempo definido por los expertos de Kaspersky. En este modo, cuando se activa la regla, la aplicación permite la actividad contemplada en la regla y registra una entrada en el almacenamiento de detección del Control de anomalías adaptativo. Al finalizar el aprendizaje, se permiten o bloquean más acciones según los resultados de este.

Puede definir exclusiones para las reglas del Control de anomalías adaptativo. Una exclusión de una regla del Control de anomalías adaptativo incluye una descripción de los objetos de origen y de destino. El objeto de origen es el que realiza las acciones. El objeto de destino es el que se ve afectado por dichas acciones. Por ejemplo, abre un archivo de nombre file.xlsx. Por lo tanto, se carga un archivo de la biblioteca con la extensión DLL en la memoria del equipo. Un navegador utiliza esta biblioteca (cuyo archivo ejecutable es browser.exe). En este ejemplo, file.xlsx es el objeto de origen, Excel es el proceso de origen, browser.exe es el objeto de destino y Navegador es el proceso de destino.

Inicio de página