Controlo de Anomalias Adaptativo
Pode gerir o Controlo de Anomalias Adaptativo na Consola de Web Kaspersky Security Center 12. Não é possível gerir o Controlo de Anomalia Adaptativo na Consola de Nuvem do Kaspersky Security Center. Também pode gerir o Controlo de Anomalia Adaptativo na Consola de Administração do Kaspersky Security Center.
O componente Controlo de Anomalia Adaptativo está disponível apenas para o Kaspersky Endpoint Security for Business Advanced e o Kaspersky Total Security for Business (saiba mais sobre os produtos do Kaspersky Endpoint Security para empresas no site da Kaspersky).
Este componente está disponível se o Kaspersky Endpoint Security estiver instalado num computador que utiliza o Windows para estações de trabalho. Este componente não está disponível se o Kaspersky Endpoint Security estiver instalado num computador que utiliza o Windows para servidores.
O componente Controlo de Anomalias Adaptativo monitoriza e bloqueia ações suspeitas que não são típicas na rede de uma empresa. O Controlo de Anomalias Adaptativo usa um conjunto de regras para rastrear comportamento invulgar (por exemplo, a regra do Início do Microsoft PowerShell a partir de uma aplicação do escritório). As regras são criadas pelos especialistas da Kaspersky com base em cenários típicos de atividade maliciosa. Pode configurar o modo como o Controlo de Anomalias Adaptativo manuseia cada regra e, por exemplo, permitir a execução de scripts do PowerShell que automatizam determinadas tarefas do fluxo de trabalho. O Kaspersky Endpoint Security atualiza o conjunto de regras a par das bases de dados da aplicação. As atualizações dos conjuntos de regras devem ser confirmadas manualmente.
Definições do Controlo de Anomalias Adaptativo
A configuração do Controlo de Anomalias Adaptativo consiste nas seguintes etapas:
- Formação do Controlo de Anomalias Adaptativo.
Depois de ativar o Controlo de Anomalias Adaptativo, as suas regras funcionam no modo de formação. Durante a formação, o Controlo de Anomalias Adaptativo monitoriza o acionamento de regras e envia os eventos de acionamento para o Kaspersky Security Center. Cada regra tem sua própria duração do modo de formação. A duração do modo de formação é estabelecida por peritos da Kaspersky. Normalmente, o modo de formação fica ativo durante duas semanas.
Se uma regra não for acionada de todo durante a formação, o Controlo de Anomalias Adaptativo irá considerar as ações associadas a esta regra como sendo suspeitas. O Kaspersky Endpoint Security irá bloquear todas as ações associadas a essa regra.
Se uma regra for acionada durante a formação, o Kaspersky Endpoint Security regista os eventos no relatório de acionamento de regras e no repositório do acionamento de regras no modo de Formação Inteligente.
- A analisar o relatório de acionamento de regras.
O administrador analisa o relatório de acionamento de regras ou o conteúdo do repositório do Acionamento de regras no modo de Formação Inteligente. O administrador pode então selecionar o comportamento do Controlo de Anomalias Adaptativo quando a regra é acionada: bloquear ou permitir. O administrador pode também continuar a monitorizar o funcionamento da regra e prolongar a duração do modo de formação. Se o administrador não realizar nenhuma ação, a aplicação continuará também a funcionar no modo de formação. O prazo do modo de formação é reiniciado.
O Controlo de Anomalias Adaptativo é configurado em tempo real. O Controlo de Anomalias Adaptativo é configurado através dos seguintes canais:
- O Controlo de Anomalias Adaptativo começa automaticamente a bloquear as ações associadas às regras que nunca foram acionadas no modo de formação.
- O Kaspersky Endpoint Security adiciona novas regras ou remove as obsoletas.
- O administrador configura a operação do Controlo de Anomalias Adaptativo depois de rever o relatório do acionamento de regras e o conteúdo do repositório de Acionamento de regras no modo de Formação Inteligente. Recomenda-se a verificação do relatório de acionamento de regras e o conteúdo do repositório de Acionamento de regras no modo de Formação Inteligente.
Quando uma aplicação maliciosa tentar realizar uma ação, o Kaspersky Endpoint Security irá bloquear a ação e exibir uma notificação (ver figura abaixo).
Notificação do Controlo de Anomalias Adaptativo
Algoritmo operacional do Controlo de Anomalias Adaptativo
O Kaspersky Endpoint Security decide se permite ou bloqueia uma ação associada a uma regra com base no seguinte algoritmo (ver figura abaixo).
Algoritmo operacional do Controlo de Anomalias Adaptativo
Definições do componente Controlo de Anomalias Adaptativo
Parâmetro |
Descrição |
|---|---|
Relatório de estado da regra |
Este relatório contém informações sobre o estado das regras de deteção do Controlo de Anomalias Adaptativo (por exemplo, Desligado ou Bloquear). O relatório é gerado para todos os grupos de administração. |
Relatório de acionamento da regra |
Este relatório contém informações sobre ações suspeitas detetadas pelo Controlo de Anomalias Adaptativo. O relatório é gerado para todos os grupos de administração. |
Regras |
Tabela de regras do Controlo de Anomalias Adaptativo. As regras são criadas pelos especialistas da Kaspersky com base em cenários típicos de atividade potencialmente maliciosa. |
Modelos de mensagem |
|