Detección de comportamiento

El componente Detección de comportamiento recibe datos sobre las acciones de las aplicaciones de su equipo y ofrece esta información a otros componentes de protección mejorar su rendimiento. El componente Detección de comportamientos utiliza firmas de patrones de actividad peligrosa (Behavior stream signatures, BSS) para aplicaciones. Si la actividad de la aplicación coincide con una BSS Kaspersky Endpoint Security realiza la acción especificada. La función de Kaspersky Endpoint Security basada en bases de datos de reglas heurísticas ofrece protección proactiva al equipo.

El componente Detección de comportamiento también supervisa los puertos de red en busca de procesos de aplicaciones que puedan poner en peligro la seguridad del equipo. La aplicación obtiene información sobre dichos procesos con bases de datos antivirus.

Parámetros del componente Detección de comportamientos

Parámetro

Descripción

Acción al detectar actividad de software malicioso

Eliminar. Seleccione este elemento para que, cuando se detecte actividad maliciosa, Kaspersky Endpoint Security elimine el archivo ejecutable de la aplicación maliciosa y cree una copia de seguridad del archivo en Copias de seguridad.

Bloquear. Seleccione este elemento para que, cuando se detecte actividad maliciosa, Kaspersky Endpoint Security finalice la aplicación.

Informar. Seleccione este elemento para que, si se detecta actividad maliciosa de parte de una aplicación, Kaspersky Endpoint Security no finalice la aplicación, sino que añada información sobre esta actividad maliciosa a la lista de amenazas activas.

Proteger carpetas compartidas

Si se activa el interruptor, Kaspersky Endpoint Security analiza la actividad de las carpetas compartidas. Si esta actividad coincide con un tipo de comportamiento típico del cifrado externo, Kaspersky Endpoint Security realiza la acción seleccionada.

Kaspersky Endpoint Security impide el cifrado externo solo de los archivos ubicados en unidades con el sistema de archivos NTFS y no cifrados por el sistema EFS.

  • Informar. Si se selecciona esta opción, al detectar un intento de modificar archivos de carpetas compartidas, Kaspersky Endpoint Security añade información sobre este intento a la lista de amenazas activas, añade una entrada a informes de la interfaz de la aplicación local y envía información sobre la actividad maliciosa detectada a Kaspersky Security Center.
  • Bloquear conexión por N minutos. Si se selecciona esta opción, cuando Kaspersky Endpoint Security detecta un intento de modificar archivos en carpetas compartidas, bloquea el acceso a la modificación del archivo para la sesión que ha iniciado la actividad maliciosa y crea copias de seguridad de los archivos modificados.

Si el componente Motor de reparación está activado y la opción Bloquear conexión por N minutos está seleccionada, se restauran los archivos modificados a partir de las copias de seguridad.

Cobertura de protección

La cobertura de protección es una lista de rutas a carpetas compartidas en las que Kaspersky Endpoint Security supervisa la actividad de los archivos. Kaspersky Endpoint Security admite variables de entorno y los caracteres * y ? al introducir una máscara. De forma predeterminada, la aplicación identifica automáticamente las carpetas compartidas y supervisa la actividad de los archivos en todas las carpetas.

Exclusiones por nombre o dirección IP

Exclusiones por nombre o dirección IP. Lista de equipos cuyos intentos de cifrar carpetas compartidas no se supervisarán.

Para aplicar la lista de equipos excluidos de la protección de carpetas compartidas contra el cifrado externo, deberá activar la opción "Auditar inicio de sesión" en la directiva de auditoría de seguridad de Windows. De manera predeterminada, la opción "Auditar inicio de sesión" no está activada. Para obtener más información acerca de la directiva de auditorías de seguridad de Windows, visite el sitio web de Microsoft.

Exclusiones por máscara. Exclusiones de la cobertura de protección. Excluir una carpeta de la cobertura de protección puede reducir el número de falsos positivos si su organización usa cifrado de datos al intercambiar archivos mediante carpetas compartidas. Por ejemplo, la Detección de comportamiento puede arrojar falsos positivos si el usuario trabaja con archivos con la extensión ENC en una carpeta compartida. Esta actividad coincide con un patrón de comportamiento típico del cifrado externo. Si tiene archivos cifrados en una carpeta compartida para proteger datos, añada dicha carpeta a las exclusiones.

Usar máscaras:

  • El carácter * (asterisco), que toma el lugar de cualquier conjunto de caracteres, excepto los caracteres \ y / (delimitadores de los nombres de archivos y carpetas en rutas a archivos y carpetas). Por ejemplo, la máscara C:\*\*.txt incluirá todas las rutas a archivos con la extensión TXT localizada en carpetas en la unidad C:, pero no en las subcarpetas
  • Dos caracteres * consecutivos toman el lugar de cualquier conjunto de caracteres (incluido un conjunto vacío) en el nombre del archivo o la carpeta, incluidos los caracteres \ y / (delimitadores de los nombres de archivos y carpetas en rutas a archivos y carpetas). Por ejemplo, la máscara C:\Folder\**\*.txt incluirá todas las rutas a archivos con la extensión TXT que se encuentren en carpeta anidadas en la Folder, salvo en la Folder misma. La máscara debe incluir al menos un nivel de anidación. La máscara C:\**\*.txt no es válida.
  • El carácter ? (signo de interrogación), que toma el lugar de cualquier carácter único, excepto los caracteres \ y / (delimitadores de los nombres de archivos y carpetas en rutas a archivos y carpetas). Por ejemplo, la máscara C:\Folder\???.txt incluirá las rutas a todos los archivos de la carpeta llamada Folder que tengan la extensión TXT y cuyo nombre sea de tres caracteres.

Vea también: Administración de la aplicación con la interfaz local

Activar y desactivar Detección de comportamiento

Protección de carpetas compartidas frente a cifrado externo

Inicio de página