Controle Adaptativo de Anomalias

O componente estará disponível se o Kaspersky Endpoint Security estiver instalado em um computador que rode o Windows para computadores pessoais. O componente estará indisponível se o Kaspersky Endpoint Security estiver instalado em um computador que rode o Windows para servidores.

O componente de Controle Adaptativo de Anomalias monitora e bloqueia ações suspeitas que não são típicas dos computadores em uma rede empresarial. O Controle Adaptativo de Anomalias usa um conjunto de regras para rastrear comportamentos incomuns (por exemplo, a regra Inicialização do Microsoft PowerShell pelo aplicativo Office). As regras são criadas pelos especialistas da Kaspersky com base em cenários típicos de atividade maliciosa. Você pode configurar como o Controle Adaptativo de Anomalias manipula cada regra e, por exemplo, permitir a execução de scripts do PowerShell que automatizam determinadas tarefas de fluxo de trabalho. Kaspersky Endpoint Security atualiza o conjunto de regras junto com os bancos de dados do aplicativo. As atualizações para os conjuntos de regras devem ser confirmadas manualmente.

Configurações de Controle Adaptativo de Anomalias

A configuração do controle Adaptativo de Anomalias adaptável consiste nas seguintes etapas:

  1. Treinamento do Controle Adaptativo de Anomalias.

    Depois de ativar o Controle Adaptativo de Anomalias, suas regras funcionam modo de treinamento. Durante o treinamento, o Controle Adaptativo de Anomalias monitora o acionamento de regras e envia os eventos do Kaspersky Security Center. Cada regra tem sua própria duração do modo de treinamento. A duração do modo de treinamento é definida pelos especialistas da Kaspersky. Normalmente, o modo de treinamento é ativado por duas semanas.

    Se uma regra não foi acionada durante o treinamento, o Controle Adaptativo de Anomalias considerará as ações associadas a essa regra como incomuns. O Kaspersky Endpoint Security irá bloquear todas as ações associadas a essa regra.

    Caso uma regra tenha sido acionada durante o treinamento, o Kaspersky Endpoint Security registra os eventos no relatório de acionamento da regra e no repositório do Acionamento de regras no estado de Treinamento inteligente.

  2. Analisando o relatório de acionamento de regras.

    O administrador analisa o relatório de acionamento da regra ou os conteúdos do repositório do Acionamento de regras no estado de Treinamento inteligente. Em seguida, o administrador pode selecionar o comportamento do Controle Adaptativo de Anomalias quando a regra for acionada: bloquear ou permitir. O administrador também pode continuar a monitorar como a regra funciona e estender a duração do modo de treinamento. Se o administrador não realizar nenhuma ação, o aplicativo também continuará a funcionar no modo de treinamento. O período do modo de treinamento é reiniciado.

O Controle Adaptativo de Anomalias é configurado em tempo real. O Controle Adaptativo de Anomalias é configurado através dos seguintes canais:

Quando um aplicativo malicioso tenta executar uma ação, o Kaspersky Endpoint Security bloqueia a ação e exibe uma notificação (veja a figura abaixo).

Notificação sobre o acionamento de uma regra. O usuário pode criar uma solicitação para permitir uma ação de processo.

Notificações do Controle Adaptativo de Anomalias

Algoritmo operacional do Controle Adaptativo de Anomalias

O Kaspersky Endpoint Security decide se permite ou bloqueia uma ação associada a uma regra com base no algoritmo a seguir (veja a figura abaixo).

Algoritmo operacional do Controle Adaptativo de Anomalias

Configurações do componente Controle Adaptativo de Anomalias

Parâmetro

Descrição

Relatório sobre o estado das regras de Controle Adaptativo de Anomalias

(disponível apenas no console do Kaspersky Security Center)

Este relatório contém informações sobre o status das regras de detecção do Controle Adaptativo de Anomalias (por exemplo, Desativado ou Bloquear). O relatório é gerado para todos os grupos de administradores.

Relatório sobre regras de Controle Adaptativo de Anomalias acionadas

(disponível apenas no console do Kaspersky Security Center)

Este relatório contém informações sobre ações atípicas detectadas pelo Controle Adaptativo de Anomalias. O relatório é gerado para todos os grupos de administradores.

Regras

Quadro de regras do Controle Adaptativo de Anomalias. As regras são criadas pelos especialistas da Kaspersky com base em cenários típicos de atividade potencialmente maliciosa.

Modelos

Mensagem sobre bloqueio. Modelo da mensagem exibida a um usuário quando uma regra do Controle Adaptativo de Anomalias que bloqueia uma ação atípica é acionada.

Mensagem para o administrador. Modelo da mensagem que pode ser enviada por um usuário ao administrador da rede corporativa local se o usuário considerar o bloqueio como um erro. Depois que o usuário solicitar o acesso, o Kaspersky Endpoint Security envia um evento ao Kaspersky Security Center: Mensagem de bloqueio de atividade do aplicativo para o administrador. A descrição do evento contém uma mensagem ao administrador com variáveis substituídas. É possível visualizar esses eventos no console do Kaspersky Security Center com o uso da seleção de eventos predefinida Pedidos de usuário. Caso sua organização não tenha o Kaspersky Security Center implantado ou não haja conexão com o Servidor de Administração, o aplicativo enviará uma mensagem ao administrador para o endereço de e-mail especificado.

Consulte também: Gerenciar o aplicativo por meio da interface local

Ativar e desativar o Controle Adaptativo de Anomalias

Ativar e desativar uma regra de Controle Adaptativo de Anomalias

Modificar a ação executada quando uma regra de Controle Adaptativo de Anomalias é acionada

Criar uma exclusão para uma regra de Controle Adaptativo de Anomalias

Exportar e importar exclusões para regras de controle adaptativo de anomalias

Aplicar atualizações das regras de Controle Adaptativo de Anomalias

Editar modelos de mensagem de Controle Adaptativo de Anomalias

Exibir relatórios de Controle Adaptativo de Anomalias

Início da página