Cenário: Configuração de regras do Controle Adaptativo de Anomalia no modo Inteligente

A configuração das regras do Controle Adaptativo de Anomalia prossegue em etapas:

  1. Treinamento

    Depois de habilitar o Controle Adaptativo de Anomalia, suas regras estarão no estado "Treinamento inteligente". Durante o treinamento, o Controle Adaptativo de Anomalia monitora as detecções feitas pela regra e envia eventos de detecção ao servidor.

    Se uma regra não for acionada em um determinado dispositivo durante o treinamento, o Controle Adaptativo de Anomalia considera as ações associadas a essa regra como não típicas. O Kaspersky Endpoint Security Cloud bloqueará todas as ações associadas a essa regra nesse dispositivo.

    Caso uma regra seja acionada durante o treinamento, o Kaspersky Endpoint Security Cloud adicionará eventos ao relatório de detecções e ao repositório de Detecções de regras do Controle Adaptativo de Anomalia da Quarentena.

  2. Processamento da lista de detecções

    Analise a lista de detecções no repositório de Detecções de regras do Controle Adaptativo de Anomalia. Para cada detecção, execute uma das seguintes ações:

    • Caso a detecção não seja anômala, adicione-a às exclusões. Como resultado, essa detecção e todas as detecções do mesmo objeto em outros dispositivos são removidas da lista. Mais tarde, este objeto não será detectado novamente em nenhum dos dispositivos de seus usuários.

      É possível adicionar até mil exclusões a todas as regras.

    • Caso a detecção seja realmente anômala, confirme-a. Como resultado, o dispositivo é removido da lista de dispositivos. Posteriormente, caso este objeto seja detectado novamente no mesmo ou em qualquer outro dispositivo, ele reaparecerá na lista de detecções.

Cada regra tem sua própria duração de treinamento definida por especialistas da Kaspersky. Normalmente, o treinamento dura duas semanas. O tempo de treinamento é contado separadamente para cada dispositivo e somente quando o Kaspersky Endpoint Security for Windows está funcionando no dispositivo. Por exemplo, caso o treinamento em um dispositivo tenha durado uma semana e, em seguida, o dispositivo for desligado durante um mês, a segunda semana de treinamento começará somente quando o dispositivo for ligado novamente.

O treinamento de uma regra em um dispositivo termina quando não há detecções não processadas durante a duração do treinamento. É por isso que recomendamos processar as detecções pelo menos uma vez por semana.

Topo da página