Controle Adaptativo de Anomalia
Você pode gerenciar o Controle Adaptativo de Anomalias no Kaspersky Security Center 12 Web Console. O Controle Adaptativo de Anomalias não pode ser gerenciado no Kaspersky Security Center Cloud Console. Você também pode gerenciar o Controle Adaptativo de Anomalias no Console de administração do Kaspersky Security Center.
O componente Controle Adaptativo de Anomalias está disponível somente para o Kaspersky Endpoint Security for Business Advanced e o Kaspersky Total Security for Business (saiba mais sobre os produtos do Kaspersky Endpoint Security para empresas no site da Kaspersky).
Este componente está disponível se o Kaspersky Endpoint Security estiver instalado em um computador executado no Microsoft Windows para estações de trabalho. Este componente estará indisponível se o Kaspersky Endpoint Security estiver instalado em um computador executado no Windows para servidores.
O componente de Controle Adaptativo de Anomalias monitora e bloqueia ações suspeitas que não são típicas dos computadores em uma rede empresarial. O Controle Adaptativo de Anomalias usa um conjunto de regras para rastrear comportamentos incomuns (por exemplo, a regra Iniciar Microsoft PowerShell do aplicativo do Office). As regras são criadas pelos especialistas da Kaspersky com base em cenários típicos de atividade maliciosa. Você pode configurar como o Controle Adaptativo de Anomalias manipula cada regra e, por exemplo, permitir a execução de scripts do PowerShell que automatizam determinadas tarefas de fluxo de trabalho. Kaspersky Endpoint Security atualiza o conjunto de regras junto com os bancos de dados do aplicativo. As atualizações para os conjuntos de regras devem ser confirmadas manualmente.
Configurações de Controle Adaptativo de Anomalia
A configuração do controle Adaptativo de Anomalias adaptável consiste nas seguintes etapas:
- Treinamento do Controle Adaptativo de Anomalias.
Depois de ativar o Controle Adaptativo de Anomalias, suas regras funcionam modo de treinamento. Durante o treinamento, o Controle Adaptativo de Anomalias monitora o acionamento de regras e envia os eventos do Kaspersky Security Center. Cada regra tem sua própria duração do modo de treinamento. A duração do modo de treinamento é definida pelos especialistas da Kaspersky. Normalmente, o modo de treinamento é ativado por duas semanas.
Se uma regra não foi acionada durante o treinamento, o Controle Adaptativo de Anomalias considerará as ações associadas a essa regra como suspeitas. O Kaspersky Endpoint Security irá bloquear todas as ações associadas a essa regra.
Se uma regra foi acionada durante o treinamento, o Kaspersky Endpoint Security registra os eventos no relatório de acionamento da regra e no repositório do Acionamento da regra no modo de Treinamento inteligente.
- Analisando o relatório de acionamento de regras.
O administrador analisa o relatório de acionamento da regra ou o conteúdo do repositório do Acionamento da regra no modo de Treinamento inteligente. Em seguida, o administrador pode selecionar o comportamento do Controle Adaptativo de Anomalias quando a regra for acionada: bloquear ou permitir. O administrador também pode continuar a monitorar como a regra funciona e estender a duração do modo de treinamento. Se o administrador não realizar nenhuma ação, o aplicativo também continuará a funcionar no modo de treinamento. O período do modo de treinamento é reiniciado.
O Controle Adaptativo de Anomalias é configurado em tempo real. O Controle Adaptativo de Anomalias é configurado através dos seguintes canais:
- O Controle Adaptativo de Anomalias inicia automaticamente o bloqueio das ações associadas às regras que nunca foram acionadas no modo de treinamento.
- O Kaspersky Endpoint Security adiciona novas regras ou remove as obsoletas.
- O administrador configura a operação do Controle Adaptativo de Anomalias após revisar o relatório de acionamento de regras e o conteúdo do repositório do Acionamento da regra no modo de Treinamento inteligente. Recomenda-se a verificação do relatório de acionamento da regra e os conteúdos do repositório Acionamento de regras no modo de Treinamento inteligente.
Quando um aplicativo malicioso tenta executar uma ação, o Kaspersky Endpoint Security bloqueia a ação e exibe uma notificação (veja a figura abaixo).
Notificações do Controle Adaptativo de Anomalias
Algoritmo operacional do Controle Adaptativo de Anomalias
O Kaspersky Endpoint Security decide se permite ou bloqueia uma ação associada a uma regra com base no algoritmo a seguir (veja a figura abaixo).
Algoritmo operacional do Controle Adaptativo de Anomalias
Configurações do componente Controle Adaptativo de Anomalias
Parâmetro |
Descrição |
|---|---|
Relatório de status da regra |
Este relatório contém informações sobre o status das regras de detecção do Controle Adaptativo de Anomalias (por exemplo, Off (desligado, desligar) ou Block (bloco, bloquear)). O relatório é gerado para todos os grupos de administradores. |
Relatório de acionamento da regra |
Este relatório contém informações sobre ações suspeitas detectadas pelo Controle Adaptativo de Anomalias. O relatório é gerado para todos os grupos de administradores. |
Regras |
Quadro de regras do Controle Adaptativo de Anomalias. As regras são criadas pelos especialistas da Kaspersky com base em cenários típicos de atividade potencialmente maliciosa. |
Modelos de mensagem |
|