Il componente Controllo adattivo delle anomalie è disponibile solo per Kaspersky Endpoint Security for Business Advanced e Kaspersky Total Security for Business (ulteriori informazioni sui prodotti Kaspersky Endpoint Security for Business sono disponibili nel sito Web Kaspersky).
Il componente è disponibile se Kaspersky Endpoint Security è installato in un computer che esegue un sistema operativo Windows per workstation. Il componente non è disponibile se Kaspersky Endpoint Security è installato in un computer che esegue un sistema operativo Windows per server.
Il componente Controllo adattivo delle anomalie monitora e blocca le azioni sospette non tipiche dei computer in una rete aziendale. Controllo adattivo delle anomalie utilizza un set di regole per tenere traccia dei comportamenti inusuali (ad esempio la regola Avvio di Microsoft PowerShell dall'applicazione Office). Le regole vengono create dagli esperti di Kaspersky in base agli scenari tipici delle attività dannose. È possibile configurare la modalità di gestione di ogni regola da parte di Controllo adattivo delle anomalie e, ad esempio, consentire l'esecuzione degli script PowerShell per l'automazione di determinate attività del flusso di lavoro. Kaspersky Endpoint Security aggiorna il set di regole insieme ai database dell'applicazione. Gli aggiornamenti dei set di regole devono essere confermati manualmente.
Impostazioni di Controllo adattivo delle anomalie
La configurazione di Controllo adattivo delle anomalie prevede i seguenti passaggi:
In seguito all'attivazione di Controllo adattivo delle anomalie, le relative regole vengono eseguite in modalità addestramento. Durante l'addestramento, Controllo adattivo delle anomalie monitora l'attivazione delle regole e invia gli eventi di attivazione a Kaspersky Security Center. Ogni regola ha una durata specifica per la modalità di addestramento. La durata della modalità di addestramento è impostata dagli esperti di Kaspersky. In genere, la modalità di addestramento è attiva per due settimane.
Se una regola non è stata attivata durante l'addestramento, Controllo adattivo delle anomalie considererà sospette le azioni associate a tale regola. Kaspersky Endpoint Security bloccherà tutte le azioni associate alla regola.
Se è stata attivata una regola durante l'addestramento, Kaspersky Endpoint Security registra gli eventi nel rapporto sull'attivazione delle regole e nell'archivio Attivazione delle regole in modalità Smart Training.
L'amministratore analizza il rapporto sull'attivazione delle regole o i contenuti dell'archivio Attivazione delle regole in modalità Smart Training. L'amministratore può quindi selezionare il comportamento di Controllo adattivo delle anomalie quando viene attivata la regola, scegliendo se bloccarla o consentirla. L'amministratore può inoltre continuare a monitorare la modalità di esecuzione della regola e prolungare la durata della modalità addestramento. Se l'amministratore non esegue alcuna azione, anche l'applicazione continuerà a funzionare in modalità addestramento. Il periodo della modalità addestramento viene riavviato.
Controllo adattivo delle anomalie viene configurato in tempo reale. Controllo adattivo delle anomalie viene configurato tramite i seguenti canali:
Quando un'applicazione dannosa tenta di eseguire un'azione, Kaspersky Endpoint Security blocca l'azione e visualizza una notifica (vedere la figura seguente).
Notifica di Controllo adattivo delle anomalie
Algoritmo operativo di Controllo adattivo delle anomalie
Kaspersky Endpoint Security decide se consentire o bloccare un'azione associata a una regola in base al seguente algoritmo (vedere la figura seguente).
Algoritmo operativo di Controllo adattivo delle anomalie