Crear una exclusión para una regla del Control de anomalías adaptativo

No es posible crear más de 1000 exclusiones para las reglas del Control de anomalías adaptativo. No se recomienda crear más de 200 exclusiones. Si necesita reducir el número de exclusiones que utiliza, considere usar máscaras en la configuración de las exclusiones.

Una exclusión de una regla del Control de anomalías adaptativo incluye una descripción de los objetos de origen y de destino. El objeto de origen es el que realiza las acciones. El objeto de destino es el que se ve afectado por dichas acciones. Por ejemplo, abre un archivo de nombre archivo.xlsx. Por lo tanto, se carga un archivo de la biblioteca con la extensión DLL en la memoria del equipo. Un navegador utiliza esta biblioteca (cuyo archivo ejecutable es navegador.exe). En este ejemplo, archivo.xlsx es el objeto de origen, Excel es el proceso de origen, navegador.exe es el objeto de destino y Navegador es el proceso de destino.

Si desea crear una exclusión para una regla del Control de anomalías adaptativo:

  1. En la ventana principal de la aplicación haga clic en el botón Ícono de Configuración de la aplicación en forma de rueda dentada..
  2. En la ventana de configuración de la aplicación, seleccione Controles de seguridadControl de anomalías adaptativo.
  3. En el bloque Reglas, haga clic en el botón Modificar reglas.

    Se abre la lista de reglas de Control de anomalías adaptativo.

  4. Seleccione una regla en la tabla.
  5. Haga clic en Editar.

    Se abre la ventana de propiedades del Control de anomalías adaptativo.

  6. En el bloque Exclusiones, haga clic en el botón Agregar.

    Se abre la ventana de propiedades de la exclusión.

  7. Seleccione el usuario en el cual desea configurar una exclusión.

    Puede seleccionar usuarios en Active Directory, en la lista de cuentas en Kaspersky Security Center o ingresando un nombre de usuario local manualmente. Kaspersky recomienda usar cuentas de usuario locales solo en casos especiales cuando no es posible usar cuentas de usuario de dominio.

    El Control de anomalías adaptativo no admite exclusiones para grupos de usuarios. Si selecciona un grupo de usuarios, Kaspersky Endpoint Security no aplica la exclusión.

  8. En el campo Descripción, describa la exclusión.
  9. Defina los parámetros del objeto de origen o del proceso de origen iniciado por el objeto:
    • Proceso de origen. Ruta (o máscara de ruta) de acceso al archivo o a una carpeta con archivos (por ejemplo, C:\Dir\File.exe o Dir\*.exe).
    • Hash del proceso de origen. Código hash de archivo.
    • Objeto de origen. Ruta (o máscara de ruta) de acceso al archivo o a una carpeta con archivos (por ejemplo, C:\Dir\File.exe o Dir\*.exe). También podría usar, por ejemplo, la ruta a un archivo de nombre document.docm, que utilice un script o una macro para iniciar los procesos de destino.

      También es posible especificar otras clases de objetos, como direcciones web, macros, comandos para la línea de comandos o rutas del Registro. Para ello, utilice la plantilla object://<objeto>, reemplazando <objeto> con el nombre del objeto, por ejemplo, object://web.site.example.com, object://VBA, object://ipconfig, object://HKEY_USERS. También puede usar máscaras (por ejemplo, object://*C:\Windows\temp\*).

    • Hash del objeto de origen. Código hash de archivo.

    La regla del Control de anomalías adaptativo no se aplicará a las acciones que el objeto realice o a los procesos que el objeto inicie.

  10. Especifique los parámetros del objeto de destino o de los procesos de destino iniciados en los que el objeto esté involucrado.
    • Proceso de destino. Ruta (o máscara de ruta) de acceso al archivo o a una carpeta con archivos (por ejemplo, C:\Dir\File.exe o Dir\*.exe).
    • Hash del proceso de destino. Código hash de archivo.
    • Objeto de destino. Comando para iniciar el proceso de destino. Para especificar el comando, utilice el modelo object://<comando> (por ejemplo, object://cmdline:powershell -Command "$result = 'C:\Windows\temp\result_local_users_pwdage.txt'"). También puede usar máscaras (por ejemplo, object://*C:\Windows\temp\*).
    • Hash del objeto de destino. Código hash de archivo.

    La regla del Control de anomalías adaptativo no se aplicará a las acciones que afecten al objeto o a los procesos en los que el objeto esté involucrado.

  11. Guarde los cambios.
Inicio de página