Controle Adaptativo de Anomalia

Você pode gerenciar o Controle Adaptativo de Anomalias no Kaspersky Security Center 12 Web Console. O Controle Adaptativo de Anomalias não pode ser gerenciado no Kaspersky Security Center Cloud Console. Você também pode gerenciar o Controle Adaptativo de Anomalias no Console de administração do Kaspersky Security Center.

O componente Controle Adaptativo de Anomalias está disponível somente para o Kaspersky Endpoint Security for Business Advanced e o Kaspersky Total Security for Business (saiba mais sobre os produtos do Kaspersky Endpoint Security para empresas no site da Kaspersky).

Este componente está disponível se o Kaspersky Endpoint Security estiver instalado em um computador executado no Microsoft Windows para estações de trabalho. Este componente estará indisponível se o Kaspersky Endpoint Security estiver instalado em um computador executado no Windows para servidores.

O componente de Controle Adaptativo de Anomalias monitora e bloqueia ações suspeitas que não são típicas dos computadores em uma rede empresarial. O Controle Adaptativo de Anomalias usa um conjunto de regras para rastrear comportamentos incomuns (por exemplo, a regra Iniciar Microsoft PowerShell do aplicativo do Office). As regras são criadas pelos especialistas da Kaspersky com base em cenários típicos de atividade maliciosa. Você pode configurar como o Controle Adaptativo de Anomalias manipula cada regra e, por exemplo, permitir a execução de scripts do PowerShell que automatizam determinadas tarefas de fluxo de trabalho. Kaspersky Endpoint Security atualiza o conjunto de regras junto com os bancos de dados do aplicativo. As atualizações para os conjuntos de regras devem ser confirmadas manualmente.

Configurações de Controle Adaptativo de Anomalia

A configuração do controle Adaptativo de Anomalias adaptável consiste nas seguintes etapas:

  1. Treinamento do Controle Adaptativo de Anomalias.

    Depois de ativar o Controle Adaptativo de Anomalias, suas regras funcionam modo de treinamento. Durante o treinamento, o Controle Adaptativo de Anomalias monitora o acionamento de regras e envia os eventos do Kaspersky Security Center. Cada regra tem sua própria duração do modo de treinamento. A duração do modo de treinamento é definida pelos especialistas da Kaspersky. Normalmente, o modo de treinamento é ativado por duas semanas.

    Se uma regra não foi acionada durante o treinamento, o Controle Adaptativo de Anomalias considerará as ações associadas a essa regra como suspeitas. O Kaspersky Endpoint Security irá bloquear todas as ações associadas a essa regra.

    Se uma regra foi acionada durante o treinamento, o Kaspersky Endpoint Security registra os eventos no relatório de acionamento da regra e no repositório do Acionamento da regra no modo de Treinamento inteligente.

  2. Analisando o relatório de acionamento de regras.

    O administrador analisa o relatório de acionamento da regra ou o conteúdo do repositório do Acionamento da regra no modo de Treinamento inteligente. Em seguida, o administrador pode selecionar o comportamento do Controle Adaptativo de Anomalias quando a regra for acionada: bloquear ou permitir. O administrador também pode continuar a monitorar como a regra funciona e estender a duração do modo de treinamento. Se o administrador não realizar nenhuma ação, o aplicativo também continuará a funcionar no modo de treinamento. O período do modo de treinamento é reiniciado.

O Controle Adaptativo de Anomalias é configurado em tempo real. O Controle Adaptativo de Anomalias é configurado através dos seguintes canais:

Quando um aplicativo malicioso tenta executar uma ação, o Kaspersky Endpoint Security bloqueia a ação e exibe uma notificação (veja a figura abaixo).

KES11_AAC_Notification

Notificações do Controle Adaptativo de Anomalias

Algoritmo operacional do Controle Adaptativo de Anomalias

O Kaspersky Endpoint Security decide se permite ou bloqueia uma ação associada a uma regra com base no algoritmo a seguir (veja a figura abaixo).

KES11_Adaptive_Control_Algorithm

Algoritmo operacional do Controle Adaptativo de Anomalias

Configurações do componente Controle Adaptativo de Anomalias

Parâmetro

Descrição

Relatório de status da regra

Este relatório contém informações sobre o status das regras de detecção do Controle Adaptativo de Anomalias (por exemplo, Off (desligado, desligar) ou Block (bloco, bloquear)). O relatório é gerado para todos os grupos de administradores.

Relatório de acionamento da regra

Este relatório contém informações sobre ações suspeitas detectadas pelo Controle Adaptativo de Anomalias. O relatório é gerado para todos os grupos de administradores.

Regras

Quadro de regras do Controle Adaptativo de Anomalias. As regras são criadas pelos especialistas da Kaspersky com base em cenários típicos de atividade potencialmente maliciosa.

Modelos de mensagem

  • Bloqueio. Modelo da mensagem exibida a um usuário quando uma regra do Controle Adaptativo de Anomalias que bloqueia uma ação suspeita é acionada.
  • Mensagem para o administrador. Modelo da mensagem que pode ser enviada por um usuário ao administrador da rede corporativa local se o usuário considerar o bloqueio como um erro.

Consulte também: Gerenciar o aplicativo por meio da interface local

Ativar e desativar o Controle Adaptativo de Anomalias

Ativar e desativar uma regra de Controle Adaptativo de Anomalias

Modificar a ação executada quando uma regra de Controle Adaptativo de Anomalias é acionada

Criar e editar uma exclusão de uma regra de Controle Adaptativo de Anomalias

Excluir uma exclusão de uma regra de Controle Adaptativo de Anomalias

Importar exclusões das regras de Controle Adaptativo de Anomalias

Exportar exclusões das regras de Controle Adaptativo de Anomalias

Aplicar atualizações das regras de Controle Adaptativo de Anomalias

Editar modelos de mensagem de Controle Adaptativo de Anomalias

Exibir relatórios de Controle Adaptativo de Anomalias

Início da página