Le composant Contrôle évolutif des anomalies est disponible uniquement pour les produits Kaspersky Endpoint Security for Business Extended et Kaspersky Total Security for Business (pour en savoir plus sur les produits Kaspersky Endpoint Security for Business, consultez le site de Kaspersky).
Le module Contrôle évolutif des anomalies surveille et bloque les actions suspectes atypiques pour les ordinateurs du réseau de l'organisation. Le Contrôle évolutif des anomalies utilise un ensemble de règles (par exemple, la règle Lancement de Windows PowerShell depuis une application de bureautique) pour suivre les actions atypiques. Ces règles sont créées par les experts de Kaspersky sur la base des scénarios typiques d'action malveillantes. Vous pouvez choisir le comportement du Contrôle évolutif des anomalies pour chacune des règles et, par exemple, autoriser le lancement de scripts PowerShell pour automatiser l'exécution des tâches d'entreprise. Kaspersky Endpoint Security met à jour l'ensemble de règles à l'aide les bases de données de l'application. La mise à jour de l'ensemble de règles doit être confirmer manuellement.
Configuration du Contrôle évolutif des anomalies
La configuration du Contrôle évolutif des anomalies comprend les étapes suivantes :
Une fois que le Contrôle évolutif des anomalies a été activé, les règles fonctionnent en mode d'apprentissage. Au cours de l'apprentissage, le Contrôle évolutif des anomalies surveille le déclenchement des règles et envoie les événements déclencheurs à Kaspersky Security Center. La durée du mode d'apprentissage est propre à chaque règle. Celle-ci est définie par les experts de Kaspersky. En règle générale, le mode d'apprentissage dure 2 semaines.
Si une règle n'a jamais été déclenchée lors de l'apprentissage, le Contrôle évolutif des anomalies considère les actions associées à cette règle comme suspectes. Kaspersky Endpoint Security bloquera toutes les actions associées à cette règle.
Si la règle c'est déclenchée lors de l'apprentissage, Kaspersky Endpoint Security enregistre les événements dans rapport sur les déclenchements des règles et dans le stockage Fonctionnement des règles en mode d'apprentissage.
L'administrateur analyse le rapport sur les déclenchements des règles ou le contenu du stockage Fonctionnement des règles en mode d'apprentissage. Ensuite, l'administrateur peut sélectionner le comportement du Contrôle évolutif des anomalies lors du déclenchement d'une règle : bloquer ou autoriser. En outre, l'administrateur peut continuer à surveiller le déclenchement de la règle et prolonger le fonctionnement d'application en mode d'apprentissage. Si l'administrateur ne prend aucune mesure, l'application continuera également à fonctionner en mode d'apprentissage. Le décompte de la durée du mode d'apprentissage est remis à zéro.
La configuration du Contrôle évolutif des anomalies se déroule en temps réel. La configuration du Contrôle évolutif des anomalies se déroule de la manière suivante :
Lorsqu'une application malveillante tente d'effectuer une action, Kaspersky Endpoint Security la bloque et affiche une notification (cf. ill. ci-après).
Notification du Contrôle évolutif des anomalies
Algorithme de fonctionnement du Contrôle évolutifs des anomalies
Kaspersky Endpoint Security autorise ou non l'exécution d'une action associée à une règle selon l'algorithme suivant (cf. ill. ci-dessous).
Algorithme de fonctionnement du Contrôle évolutifs des anomalies