Controlo de Anomalias Adaptativo

O componente Controlo de Anomalia Adaptativo está disponível apenas para o Kaspersky Endpoint Security for Business Advanced e o Kaspersky Total Security for Business (saiba mais sobre os produtos do Kaspersky Endpoint Security para empresas no site da Kaspersky).

Este componente está disponível se o Kaspersky Endpoint Security estiver instalado num computador que utiliza o Windows para estações de trabalho. Este componente não está disponível se o Kaspersky Endpoint Security estiver instalado num computador que utiliza o Windows para servidores.

O componente Controlo de Anomalias Adaptativo monitoriza e bloqueia ações suspeitas que não são típicas na rede de uma empresa. O Controlo de Anomalias Adaptativo usa um conjunto de regras para rastrear comportamento invulgar (por exemplo, a regra do Início do Microsoft PowerShell a partir de uma aplicação do escritório). As regras são criadas pelos especialistas da Kaspersky com base em cenários típicos de atividade maliciosa. Pode configurar o modo como o Controlo de Anomalias Adaptativo manuseia cada regra e, por exemplo, permitir a execução de scripts do PowerShell que automatizam determinadas tarefas do fluxo de trabalho. O Kaspersky Endpoint Security atualiza o conjunto de regras a par das bases de dados da aplicação. As atualizações dos conjuntos de regras devem ser confirmadas manualmente.

Definições do Controlo de Anomalias Adaptativo

A configuração do Controlo de Anomalias Adaptativo consiste nas seguintes etapas:

Formação do Controlo de Anomalias Adaptativo.
Depois de ativar o Controlo de Anomalias Adaptativo, as suas regras funcionam no modo de formação. Durante a formação, o Controlo de Anomalias Adaptativo monitoriza o acionamento de regras e envia os eventos de acionamento para o Kaspersky Security Center. Cada regra tem sua própria duração do modo de formação. A duração do modo de formação é estabelecida por peritos da Kaspersky. Normalmente, o modo de formação fica ativo durante duas semanas.

Se uma regra não for acionada de todo durante a formação, o Controlo de Anomalias Adaptativo irá considerar as ações associadas a esta regra como sendo suspeitas. O Kaspersky Endpoint Security irá bloquear todas as ações associadas a essa regra.

Se uma regra for acionada durante a formação, o Kaspersky Endpoint Security regista os eventos no relatório de acionamento de regras e no repositório do acionamento de regras no modo de Formação Inteligente.
A analisar o relatório de acionamento de regras.
O administrador analisa o relatório de acionamento de regras ou o conteúdo do repositório do Acionamento de regras no modo de Formação Inteligente. O administrador pode então selecionar o comportamento do Controlo de Anomalias Adaptativo quando a regra é acionada: bloquear ou permitir. O administrador pode também continuar a monitorizar o funcionamento da regra e prolongar a duração do modo de formação. Se o administrador não realizar nenhuma ação, a aplicação continuará também a funcionar no modo de formação. O prazo do modo de formação é reiniciado.

O Controlo de Anomalias Adaptativo é configurado em tempo real. O Controlo de Anomalias Adaptativo é configurado através dos seguintes canais:

O Controlo de Anomalias Adaptativo começa automaticamente a bloquear as ações associadas às regras que nunca foram acionadas no modo de formação.
O Kaspersky Endpoint Security adiciona novas regras ou remove as obsoletas.
O administrador configura a operação do Controlo de Anomalias Adaptativo depois de rever o relatório do acionamento de regras e o conteúdo do repositório de Acionamento de regras no modo de Formação Inteligente. Recomenda-se a verificação do relatório de acionamento de regras e o conteúdo do repositório de Acionamento de regras no modo de Formação Inteligente.

Quando uma aplicação maliciosa tentar realizar uma ação, o Kaspersky Endpoint Security irá bloquear a ação e exibir uma notificação (ver figura abaixo).

KES11_AAC_Notification