Control de anomalías adaptable

El componente Control de anomalías adaptable sólo está disponible para Kaspersky Endpoint Security for Business Advanced y Kaspersky Total Security for Business (obtenga más información sobre los productos Kaspersky Endpoint Security para empresas en el sitio web de Kaspersky).

Este componente está disponible si Kaspersky Endpoint Security se instala en un equipo con Windows para estaciones de trabajo. Este componente no está disponible si Kaspersky Endpoint Security está instalado en un equipo con Windows para servidores.

El componente Control de anomalías adaptable detecta y bloquea acciones sospechosas que no son típicas de los equipos en una red de la empresa. El Control de anomalías adaptable utiliza un conjunto de reglas para supervisar el comportamiento inusual (por ejemplo, la regla Inicio de Microsoft PowerShell desde la aplicación Office). Los especialistas de Kaspersky crean las reglas sobre la base de los escenarios habituales de actividad maliciosa. Puede configurar el modo en que el Control de anomalías adaptable gestiona cada regla y, por ejemplo, permitir la ejecución de scripts de PowerShell que automatizan determinadas tareas de flujo de trabajo. Kaspersky Endpoint Security actualiza el conjunto de reglas junto con las bases de datos de la aplicación. Las actualizaciones de los conjuntos de reglas deben confirmarse manualmente.

Parámetros del Control de anomalías adaptable

Para configurar el Control de anomalías adaptable se tienen que realizar los pasos siguientes:

  1. Autoaprendizaje del Control de anomalías adaptable.

    Después de habilitar el Control de anomalías adaptable, sus reglas funcionan en el modo de autoaprendizaje. Durante el aprendizaje, el Control de anomalías adaptable supervisa la activación de reglas y envía eventos de activación a Kaspersky Security Center. Cada regla tiene su propia duración del modo de autoaprendizaje. La duración del modo de autoaprendizaje es establecida por los expertos de Kaspersky. Por lo general, el modo de autoaprendizaje está activo durante dos semanas.

    Si una regla no se ha activado nunca durante el autoaprendizaje, el Control de anomalías adaptable considerará las acciones asociadas a esta regla como sospechosas. Kaspersky Endpoint Security bloqueará todas las acciones asociadas a esa regla.

    Si se activó una regla durante el autoaprendizaje, Kaspersky Endpoint Security registra los eventos en el informe de activación de las reglas y en el repositorio del modo de activación de las reglas en el aprendizaje inteligente.

  2. Analizar el informe de activación de las reglas.

    El administrador analiza el informe de activación de las reglas o los contenidos del repositorio del modo de activación de las reglas en el aprendizaje inteligente. A continuación, el administrador puede seleccionar el comportamiento del Control de anomalías adaptable cuando se active la regla para bloquearlo o permitirlo. El administrador también puede seguir supervisando el funcionamiento de la regla y ampliar su duración durante el modo de autoaprendizaje. Si el administrador no realiza ninguna acción, la aplicación también seguirá funcionando en el modo de autoaprendizaje. El plazo de aprendizaje se reiniciará.

El Control de anomalías adaptable se configura en tiempo real. El Control de anomalías adaptable se configura a través de los siguientes canales:

Cuando una aplicación malintencionada intenta realizar una acción, Kaspersky Endpoint Security bloqueará dicha acción y mostrará una notificación (vea la figura a continuación).

KES11_AAC_Notification

Notificación del Control de anomalías adaptable

Algoritmo de funcionamiento del Control de anomalías adaptable

Kaspersky Endpoint Security decide si se autoriza o se bloquea una acción que esté asociada con una regla de acuerdo al siguiente algoritmo (consulte la siguiente figura).

KES11_Adaptive_Control_Algorithm

Algoritmo de funcionamiento del Control de anomalías adaptable

En esta sección:

Activación y desactivación del Control adaptable de anomalías

Activación y desactivación de una regla del Control adaptable de anomalías

Cambio de la acción que se realiza al activarse una regla del Control de anomalías adaptativo

Creación y modificación de una exclusión para una regla del Control de anomalías adaptativo

Eliminación de una exclusión para una regla del Control de anomalías adaptativo

Importación de exclusiones para las reglas del Control de anomalías adaptativo

Exportación de exclusiones para las reglas del Control de anomalías adaptativo

Actualización de las reglas del Control de anomalías adaptativo

Modificación de las plantillas de mensajes del Control de anomalías adaptativo

Visualización de informes del Control de anomalías adaptable

Inicio de página