Control de anomalías adaptativo

El componente Control de anomalías adaptativo solo está disponible para Kaspersky Endpoint Security for Business Advanced y Kaspersky Total Security for Business (para más información sobre productos de Kaspersky Endpoint Security para empresas, visite el sitio web de Kaspersky).

Para que pueda usar este componente, Kaspersky Endpoint Security debe estar instalado en un equipo con Windows para estaciones de trabajo. El componente no estará disponible si Kaspersky Endpoint Security se ha instalado en un equipo con Windows para servidores.

El componente Control de anomalías adaptativo detecta y bloquea acciones sospechosas que no son típicas de los equipos conectados a una red corporativa. Para ello utiliza una serie de reglas, diseñadas para buscar comportamientos que no se consideran usuales (por ejemplo, la regla Inicio de Microsoft PowerShell desde una aplicación de ofimática). Los especialistas de Kaspersky crean estas reglas basándose en casos característicos de actividad maliciosa. La manera en que el Control de anomalías adaptativo responde ante cada regla es configurable; esto significa que, por ejemplo, es posible permitir la ejecución de scripts de PowerShell que se hayan creado para automatizar ciertos aspectos de un flujo de trabajo. Las reglas se actualizan junto con las bases de datos de Kaspersky Endpoint Security. No obstante, las actualizaciones para las reglas deben confirmarse manualmente.

Configuración del Control de anomalías adaptativo

Los pasos para configurar el Control de anomalías adaptativo son los siguientes:

  1. Usar el modo de aprendizaje del Control de anomalías adaptativo.

    Una vez que el Control de anomalías adaptativo se habilita, sus reglas entran en un modo de aprendizaje. Mientras dicho modo está activo, el Control de anomalías adaptativo monitorea la activación de las reglas y envía los eventos de activación a Kaspersky Security Center. El tiempo de aprendizaje varía según la regla. Quienes definen la duración son los expertos de Kaspersky. Lo normal es que el modo de aprendizaje esté activo por dos semanas.

    Si una regla no se activa en lo absoluto durante el período de aprendizaje, el componente considerará que las acciones asociadas con la regla son sospechosas. En consecuencia, Kaspersky Endpoint Security bloqueará cualquier acción vinculada con esa regla.

    Si una regla sí se activa durante el período de aprendizaje, Kaspersky Endpoint Security dejará constancia de los eventos en el informe de activación de las reglas y en el repositorio Activación de reglas en modo Aprendizaje inteligente.

  2. Analizar el informe de activación de las reglas.

    El administrador analiza el informe de activación de las reglas o el contenido del repositorio Activación de reglas en modo Aprendizaje inteligente. A continuación, selecciona cómo reaccionará el Control de anomalías adaptativo cuando se active una regla; las opciones posibles son permitir y bloquear. El administrador también puede optar por seguir controlando el funcionamiento de la regla y extender la duración del modo de aprendizaje. Si el administrador no realiza ninguna acción, la aplicación seguirá operando en modo de aprendizaje. El plazo de aprendizaje se reiniciará.

El componente Control de anomalías adaptativo se configura en tiempo real. Los canales de configuración son los siguientes:

Cuando una aplicación maliciosa intente realizar una acción, Kaspersky Endpoint Security bloqueará el intento y mostrará una notificación (consulte la siguiente imagen).

KES11_AAC_Notification

Notificación del Control de anomalías adaptativo

Algoritmo de funcionamiento del Control de anomalías adaptativo

Para determinar si una acción asociada a una regla debe permitirse o bloquearse, Kaspersky Endpoint Security usa el algoritmo de la siguiente imagen.

KES11_Adaptive_Control_Algorithm

Algoritmo de funcionamiento del Control de anomalías adaptativo

En esta sección:

Habilitación y deshabilitación del Control de anomalías adaptativo

Habilitación y deshabilitación de una regla del Control de anomalías adaptativo

Cambio de la acción que se realiza al activarse una regla del Control de anomalías adaptativo

Creación y modificación de una exclusión para una regla del Control de anomalías adaptativo

Eliminación de una exclusión para una regla del Control de anomalías adaptativo

Importación de exclusiones para las reglas del Control de anomalías adaptativo

Exportación de exclusiones para las reglas del Control de anomalías adaptativo

Actualización de las reglas del Control de anomalías adaptativo

Modificación de las plantillas de mensajes del Control de anomalías adaptativo

Visualización de los informes del Control de anomalías adaptativo

Inicio de la página