Control de anomalías adaptativo

Para Windows

El componente Control de anomalías adaptativo detecta y bloquea acciones que no son típicas de los equipos conectados a una red corporativa. El Control de anomalías adaptativo utiliza un conjunto de reglas para realizar un seguimiento del comportamiento inusual (por ejemplo, la regla Inicio de Microsoft PowerShell desde una aplicación de oficina). Las reglas las crean los especialistas de Kaspersky en función de los escenarios típicos de actividad maliciosa. Puede configurar cómo el Control de anomalías adaptativo maneja cada regla y, por ejemplo, permitir la ejecución de scripts de PowerShell que automatizan ciertas tareas del flujo de trabajo. Kaspersky Endpoint Security actualiza el conjunto de reglas junto con las bases de datos de la aplicación.

Para configurar el Control de anomalías adaptativo se tienen que realizar los pasos siguientes:

Autoaprendizaje del Control de anomalías adaptativo.
Después de habilitar el Control de anomalías adaptativo, sus reglas funcionan en el modo de autoaprendizaje. Durante el entrenamiento, el Control de anomalías adaptativo supervisa la activación de reglas y envía eventos de activación al servidor. Cada regla tiene su propia duración del modo de autoaprendizaje. La duración del modo de autoaprendizaje es establecida por los expertos de Kaspersky. Por lo general, el modo de autoaprendizaje está activo durante dos semanas.

Si una regla no se ha activado nunca durante el autoaprendizaje, el Control de anomalías adaptativo considerará las acciones asociadas a esta regla como no típicas. Kaspersky Endpoint Security bloqueará todas las acciones asociadas a esa regla.

Si la regla se activa durante el entrenamiento, Kaspersky Endpoint Security registra los eventos en el informe de activación de la regla y en el almacenamiento de detección del Control de anomalías adaptativo.
Analizar el informe de activación de las reglas.
El administrador analiza el informe que activa la regla o el contenido del almacenamiento de detección del Control de anomalías adaptativo. A continuación, el administrador puede seleccionar el comportamiento del Control de anomalías adaptativo cuando se active la regla para bloquearlo o permitirlo. El administrador también puede seguir supervisando el funcionamiento de la regla y ampliar su duración durante el modo de autoaprendizaje. Si el administrador no realiza ninguna acción, la aplicación también seguirá funcionando en el modo de autoaprendizaje. El plazo de aprendizaje se reiniciará.

El Control de anomalías adaptativo se configura en tiempo real. El Control de anomalías adaptativo se configura a través de los siguientes canales:

El Control de anomalías adaptativo empieza a bloquear automáticamente las acciones asociadas con las reglas que no se activaron nunca en el modo de autoaprendizaje.
Kaspersky Endpoint Security añade nuevas reglas o elimina las obsoletas.

El administrador configura el Control de anomalías adaptativo después de analizar el informe de activación de la regla y el contenido del almacenamiento de detección del Control de anomalías adaptativo. Recomendamos consultar el informe de activación de reglas y el contenido del almacenamiento de detección del Control de anomalías adaptativo.

Configuración de Control de anomalías adaptativo para Pro View

Parámetro	SO	Descripción
Ver informe → Estado de las reglas	`Windows`	Este informe contiene información sobre el estado de las reglas de detección del Control de anomalías adaptativo (por ejemplo, la regla Desactivado o Bloquear). Este informe se genera para todos los grupos de administración.
Ver informe → Detecciones	`Windows`	Este informe contiene información sobre las acciones no típicas detectadas al usar el Control de anomalías adaptativo. Este informe se genera para todos los grupos de administración.
Reglas	`Windows`	Tabla de reglas del Control de anomalías adaptativo Los especialistas de Kaspersky crean las reglas sobre la base de los escenarios habituales de actividad potencialmente maliciosa. Las reglas de Control de anomalías adaptativo pueden funcionar en uno de los siguientes modos: Informar. La aplicación permite la actividad contemplada en la regla y registra la entrada correspondiente. Bloquear. La aplicación bloquea la actividad contemplada en la regla y registra la entrada correspondiente. Inteligente. La regla funciona en el estado de Aprendizaje inteligente durante el período de tiempo definido por los expertos de Kaspersky. En este modo, cuando se activa la regla, la aplicación permite la actividad cubierta por la regla y registra una entrada en el almacenamiento de detección del Control de anomalías adaptativo. Al finalizar el aprendizaje, se permiten o bloquean más acciones según los resultados de este. Puede definir exclusiones para las reglas de Control de anomalías adaptativo. Una exclusión de una regla del Control de anomalías adaptable incluye una descripción de los objetos de origen y de destino. El objeto de origen es el que realiza las acciones. El objeto de destino es el que se ve afectado por dichas acciones. Supongamos que se abre un archivo denominado `file.xlsx`. Como resultado se carga en la memoria del equipo un archivo de biblioteca con la extensión DLL. Un navegador utiliza esta biblioteca (cuyo archivo ejecutable es `browser.exe`). En el marco de este ejemplo, `file.xlsx` es el objeto de origen, Excel es el proceso de origen, `browser.exe` es el objeto de destino y Navegador es el proceso de destino.

Parámetro

Descripción

Ver informe → Estado de las reglas

Windows

Este informe contiene información sobre el estado de las reglas de detección del Control de anomalías adaptativo (por ejemplo, la regla Desactivado o Bloquear). Este informe se genera para todos los grupos de administración.

Ver informe → Detecciones

Windows

Este informe contiene información sobre las acciones no típicas detectadas al usar el Control de anomalías adaptativo. Este informe se genera para todos los grupos de administración.

Reglas

Windows

Tabla de reglas del Control de anomalías adaptativo Los especialistas de Kaspersky crean las reglas sobre la base de los escenarios habituales de actividad potencialmente maliciosa.

Las reglas de Control de anomalías adaptativo pueden funcionar en uno de los siguientes modos:

Informar.
La aplicación permite la actividad contemplada en la regla y registra la entrada correspondiente.
Bloquear.
La aplicación bloquea la actividad contemplada en la regla y registra la entrada correspondiente.
Inteligente.
La regla funciona en el estado de Aprendizaje inteligente durante el período de tiempo definido por los expertos de Kaspersky. En este modo, cuando se activa la regla, la aplicación permite la actividad cubierta por la regla y registra una entrada en el almacenamiento de detección del Control de anomalías adaptativo. Al finalizar el aprendizaje, se permiten o bloquean más acciones según los resultados de este.

Puede definir exclusiones para las reglas de Control de anomalías adaptativo. Una exclusión de una regla del Control de anomalías adaptable incluye una descripción de los objetos de origen y de destino. El objeto de origen es el que realiza las acciones. El objeto de destino es el que se ve afectado por dichas acciones. Supongamos que se abre un archivo denominado file.xlsx. Como resultado se carga en la memoria del equipo un archivo de biblioteca con la extensión DLL. Un navegador utiliza esta biblioteca (cuyo archivo ejecutable es browser.exe). En el marco de este ejemplo, file.xlsx es el objeto de origen, Excel es el proceso de origen, browser.exe es el objeto de destino y Navegador es el proceso de destino.

Inicio de página