Contrôle évolutif des anomalies

Ce module est disponible uniquement pour Kaspersky Endpoint Security for Business Advanced et Kaspersky Total Security for Business. Pour en savoir plus à propos de Kaspersky Endpoint Security for Business, veuillez consulter le site de Kaspersky).

Ce module est disponible si Kaspersky Endpoint Security est installé sur un ordinateur tournant sous le système d'exploitation Windows pour postes de travail. Ce module n'est pas disponible si Kaspersky Endpoint Security a été installé sur un ordinateur tournant sous le système d'exploitation Windows pour serveurs.

Le module Contrôle évolutif des anomalies surveille et bloque les actions atypiques pour les ordinateurs du réseau d'une organisation. Le Contrôle évolutif des anomalies utilise un ensemble de règles (par exemple, la règle Lancement de Windows PowerShell depuis une application de bureautique) pour suivre les actions atypiques. Ces règles sont créées par les experts de Kaspersky sur la base des scénarios typiques d'action malveillantes. Vous pouvez choisir le comportement du Contrôle évolutif des anomalies pour chacune des règles et, par exemple, autoriser le lancement de scripts PowerShell pour automatiser l'exécution des tâches d'entreprise. Kaspersky Endpoint Security met à jour l'ensemble de règles à l'aide les bases de données de l'application. La mise à jour de l'ensemble de règles doit être confirmer manuellement.

Configuration du Contrôle évolutif des anomalies

La configuration du Contrôle évolutif des anomalies comprend les étapes suivantes :

1. Apprentissage du Contrôle évolutif des anomalies

   Une fois que le Contrôle évolutif des anomalies a été activé, les règles fonctionnent en mode d'apprentissage. Au cours de l'apprentissage, le Contrôle évolutif des anomalies surveille le déclenchement des règles et envoie les événements déclencheurs à Kaspersky Security Center. La durée du mode d'apprentissage est propre à chaque règle. Celle-ci est définie par les experts de Kaspersky. En règle générale, le mode d'apprentissage dure 2 semaines.

   Si une règle n'a jamais été déclenchée lors de l'apprentissage, le Contrôle évolutif des anomalies considère les actions associées à cette règle comme atypiques. Kaspersky Endpoint Security bloquera toutes les actions associées à cette règle.

   Si la règle s'est déclenchée lors de l'apprentissage, Kaspersky Endpoint Security enregistre les événements dans rapport sur les déclenchements des règles et dans le stockage Déclenchement des règles dans l'état Apprendre intelligemment.

2. Analyse du rapport sur les déclenchements des règles

   L'administrateur analyse le rapport sur les déclenchements des règles ou le contenu du stockage Déclenchement des règles dans l'état Apprendre intelligemment. Ensuite, l'administrateur peut sélectionner le comportement du Contrôle évolutif des anomalies lors du déclenchement d'une règle : bloquer ou autoriser. En outre, l'administrateur peut continuer à surveiller le déclenchement de la règle et prolonger le fonctionnement d'application en mode d'apprentissage. Si l'administrateur ne prend aucune mesure, l'application continuera également à fonctionner en mode d'apprentissage. Le décompte de la durée du mode d'apprentissage est remis à zéro.

La configuration du Contrôle évolutif des anomalies se déroule en temps réel. La configuration du Contrôle évolutif des anomalies se déroule de la manière suivante :

• Le Contrôle évolutif des anomalies commence automatiquement à bloquer les actions associées aux règles qui ne se sont pas déclenchées lors de l'apprentissage.
• Kaspersky Endpoint Security ajoute de nouvelles règles ou supprime les règles qui ne sont plus pertinentes.
• L'administrateur configure le fonctionnement du Contrôle évolutif des anomalies après avoir analysé le rapport sur les déclenchements des règles et le contenu du stockage Déclenchement des règles dans l'état Apprendre intelligemment. Il est recommandé de vérifier le rapport sur les déclenchements des règles et le contenu du stockage Déclenchement des règles dans l'état Apprendre intelligemment.

Lorsqu'une application malveillante tente d'effectuer une action, Kaspersky Endpoint Security la bloque et affiche une notification (cf. ill. ci-après).

Notification du Contrôle évolutif des anomalies

Algorithme de fonctionnement du Contrôle évolutifs des anomalies

Kaspersky Endpoint Security autorise ou non l'exécution d'une action associée à une règle selon l'algorithme suivant (cf. ill. ci-dessous).

Algorithme de fonctionnement du Contrôle évolutifs des anomalies

Paramètres du module Contrôle évolutif des anomalies

Paramètre	Description
Rapport sur l'état des règles du Contrôle évolutif des anomalies (disponible uniquement dans Kaspersky Security Center Console)	Ce rapport contient des informations sur l'état des règles de détection du Contrôle évolutif des anomalies (par exemple, les états Désactivé ou Bloquer). Le rapport est créé pour tous les groupes d'administration.
Rapport sur les règles déclenchées du Contrôle évolutif des anomalies (disponible uniquement dans Kaspersky Security Center Console)	Ce rapport contient les informations sur les actions suspectes détectées par le Contrôle évolutif des anomalies. Le rapport est créé pour tous les groupes d'administration.
Règles	Tableau des règles du Contrôle évolutif des anomalies Les règles ont été créées par les experts de Kaspersky sur la base des scénarios typiques d'activités potentiellement malveillantes.
Modèles	Message sur le blocage. Modèle de message destiné à l'utilisateur et qui s'affiche en cas de déclenchement de la règle du Contrôle évolutif des anomalies qui bloque l'action atypique. Message à l'administrateur. Modèle du message à envoyer à l'administrateur du réseau local d'entreprise si l'utilisateur croit que le blocage de l'action est intervenu par erreur. Après que l'utilisateur a demandé l'autorisation d'accès, Kaspersky Endpoint Security envoie un événement à Kaspersky Security Center : Message envoyé à l'administrateur sur l'interdiction de l'action de l'application. La description de l'événement contient un message adressé à l'administrateur avec des variables substituées. Vous pouvez consulter ces événements dans la console de Kaspersky Security Center à l'aide de la sélection d'événements prédéfinie Requêtes des utilisateurs. Si votre organisation n'a pas déployé Kaspersky Security Center ou s'il n'y a pas de connexion au Serveur d'administration, l'application enverra un message à l'administrateur à l'adresse email indiquée.

Voir aussi sur l'administration de l'application via l'interface locale Activation et désactivation du Contrôle évolutif des anomalies Activation et désactivation d'une règle du Contrôle évolutif des anomalies Modification de l'action en cas de déclenchement d'une règle du Contrôle évolutif des anomalies Création d'une exclusion pour une règle du Contrôle évolutif des anomalies Exportation et importation d'exclusions pour les règles du Contrôle évolutif des anomalies Application des mises à jour pour les règles du Contrôle évolutif des anomalies Modification des modèles de messages du Contrôle évolutif des anomalies Consultation des rapports du Contrôle évolutif des anomalies

Haut de page