Controllo adattivo delle anomalie

È possibile gestire Controllo adattivo delle anomalie in Kaspersky Security Center 12 Web Console. Controllo adattivo delle anomalie non può essere gestito in Kaspersky Security Center Cloud Console. È inoltre possibile gestire Controllo adattivo delle anomalie in Kaspersky Security Center Administration Console.

Il componente Controllo adattivo delle anomalie è disponibile solo per Kaspersky Endpoint Security for Business Advanced e Kaspersky Total Security for Business (ulteriori informazioni sui prodotti Kaspersky Endpoint Security for Business sono disponibili nel sito Web Kaspersky).

Il componente è disponibile se Kaspersky Endpoint Security è installato in un computer che esegue un sistema operativo Windows per workstation. Il componente non è disponibile se Kaspersky Endpoint Security è installato in un computer che esegue un sistema operativo Windows per server.

Il componente Controllo adattivo delle anomalie monitora e blocca le azioni sospette non tipiche dei computer in una rete aziendale. Controllo adattivo delle anomalie utilizza un set di regole per tenere traccia dei comportamenti inusuali (ad esempio la regola Avvio di Microsoft PowerShell dall'applicazione Office). Le regole vengono create dagli esperti di Kaspersky in base agli scenari tipici delle attività dannose. È possibile configurare la modalità di gestione di ogni regola da parte di Controllo adattivo delle anomalie e, ad esempio, consentire l'esecuzione degli script PowerShell per l'automazione di determinate attività del flusso di lavoro. Kaspersky Endpoint Security aggiorna il set di regole insieme ai database dell'applicazione. Gli aggiornamenti dei set di regole devono essere confermati manualmente.

Impostazioni di Controllo adattivo delle anomalie

La configurazione di Controllo adattivo delle anomalie prevede i seguenti passaggi:

  1. Addestramento di Controllo adattivo delle anomalie.

    In seguito all'attivazione di Controllo adattivo delle anomalie, le relative regole vengono eseguite in modalità addestramento. Durante l'addestramento, Controllo adattivo delle anomalie monitora l'attivazione delle regole e invia gli eventi di attivazione a Kaspersky Security Center. Ogni regola ha una durata specifica per la modalità di addestramento. La durata della modalità di addestramento è impostata dagli esperti di Kaspersky. In genere, la modalità di addestramento è attiva per due settimane.

    Se una regola non è stata attivata durante l'addestramento, Controllo adattivo delle anomalie considererà sospette le azioni associate a tale regola. Kaspersky Endpoint Security bloccherà tutte le azioni associate alla regola.

    Se è stata attivata una regola durante l'addestramento, Kaspersky Endpoint Security registra gli eventi nel rapporto sull'attivazione delle regole e nell'archivio Attivazione delle regole in modalità Smart Training.

  2. Analisi del rapporto sull'attivazione delle regole.

    L'amministratore analizza il rapporto sull'attivazione delle regole o i contenuti dell'archivio Attivazione delle regole in modalità Smart Training. L'amministratore può quindi selezionare il comportamento di Controllo adattivo delle anomalie quando viene attivata la regola, scegliendo se bloccarla o consentirla. L'amministratore può inoltre continuare a monitorare la modalità di esecuzione della regola e prolungare la durata della modalità addestramento. Se l'amministratore non esegue alcuna azione, anche l'applicazione continuerà a funzionare in modalità addestramento. Il periodo della modalità addestramento viene riavviato.

Controllo adattivo delle anomalie viene configurato in tempo reale. Controllo adattivo delle anomalie viene configurato tramite i seguenti canali:

Quando un'applicazione dannosa tenta di eseguire un'azione, Kaspersky Endpoint Security blocca l'azione e visualizza una notifica (vedere la figura seguente).

KES11_AAC_Notification

Notifica di Controllo adattivo delle anomalie

Algoritmo operativo di Controllo adattivo delle anomalie

Kaspersky Endpoint Security decide se consentire o bloccare un'azione associata a una regola in base al seguente algoritmo (vedere la figura seguente).

KES11_Adaptive_Control_Algorithm

Algoritmo operativo di Controllo adattivo delle anomalie

Impostazioni del componente Controllo adattivo delle anomalie

Parametro

Descrizione

Rapporto sullo stato delle regole

Questo rapporto contiene informazioni sullo stato delle regole di rilevamento di Controllo adattivo delle anomalie (ad esempio Disattivato o Blocca). Il rapporto viene generato per tutti i gruppi di amministrazione.

Rapporto sull'attivazione delle regole

Questo rapporto contiene informazioni sulle azioni sospette rilevate da Controllo adattivo delle anomalie. Il rapporto viene generato per tutti i gruppi di amministrazione.

Regole

Tabella delle regole di Controllo adattivo delle anomalie. Le regole vengono create dagli esperti di Kaspersky in base agli scenari tipici delle attività potenzialmente dannose.

Modelli di messaggi

  • Blocco. Modello del messaggio per un utente visualizzato quando viene attivata una regola di Controllo adattivo delle anomalie che blocca un'azione sospetta.
  • Messaggio all'amministratore. Modello del messaggio che un utente può inviare all'amministratore della rete aziendale locale se l'utente ritiene che il blocco sia un errore.

Consultare inoltre: Gestione dell'applicazione tramite l'interfaccia locale

Abilitazione e disabilitazione di Controllo adattivo delle anomalie

Abilitazione e disabilitazione di una regola di Controllo adattivo delle anomalie

Modifica dell'azione eseguita quando viene attivata una regola di Controllo adattivo delle anomalie

Creazione e modifica di un'esclusione per una regola di Controllo adattivo delle anomalie

Eliminazione di un'esclusione della regola di Controllo adattivo delle anomalie

Importazione delle esclusioni per le regole di Controllo adattivo delle anomalie

Esportazione delle esclusioni per le regole di Controllo adattivo delle anomalie

Applicazione degli aggiornamenti per le regole di Controllo adattivo delle anomalie

Modifica dei modelli dei messaggi di Controllo adattivo delle anomalie

Visualizzazione dei rapporti di Controllo adattivo delle anomalie

Inizio pagina