Controle Adaptativo de Anomalia

para Windows

O componente de Controle Adaptativo de Anomalias monitora e bloqueia ações suspeitas que não são típicas dos computadores em uma rede empresarial. O Controle Adaptativo de Anomalia usa um conjunto de regras para rastrear comportamentos não característicos (por exemplo, a regra Início do Microsoft PowerShell pelo aplicativo do Office). As regras são criadas por especialistas da Kaspersky de acordo com cenários típicos de atividade maliciosa. É possível configurar como o Controle Adaptativo de Anomalia cada regra e, por exemplo, permitir a execução de scripts do PowerShell que automatizam determinadas tarefas de fluxo de trabalho. Kaspersky Endpoint Security atualiza o conjunto de regras junto com os bancos de dados do aplicativo.

A configuração do controle Adaptativo de Anomalias adaptável consiste nas seguintes etapas:

Treinamento do Controle Adaptativo de Anomalias.
Depois de ativar o Controle Adaptativo de Anomalias, suas regras funcionam modo de treinamento. Durante o treinamento, o Controle Adaptativo de Anomalias monitora o acionamento de regras e envia os eventos ao servidor. Cada regra tem sua própria duração do modo de treinamento. A duração do modo de treinamento é definida pelos especialistas da Kaspersky. Normalmente, o modo de treinamento é ativado por duas semanas.

Se uma regra não foi acionada durante o treinamento, o Controle Adaptativo de Anomalias considerará as ações associadas a essa regra como incomuns. O Kaspersky Endpoint Security irá bloquear todas as ações associadas a essa regra.

Se a regra for acionada durante o treinamento, o Kaspersky Endpoint Security registrará eventos no relatório de acionamento da regra e no armazenamento de detecção do Controle Adaptativo de Anomalias.
Analisando o relatório de acionamento de regras.
O administrador analisa o relatório de acionamento de regra ou o conteúdo do armazenamento de detecção do Controle Adaptativo de Anomalias. Em seguida, o administrador pode selecionar o comportamento do Controle Adaptativo de Anomalias quando a regra for acionada: bloquear ou permitir. O administrador também pode continuar a monitorar como a regra funciona e estender a duração do modo de treinamento. Se o administrador não realizar nenhuma ação, o aplicativo também continuará a funcionar no modo de treinamento. O período do modo de treinamento é reiniciado.

O Controle Adaptativo de Anomalias é configurado em tempo real. O Controle Adaptativo de Anomalias é configurado através dos seguintes canais:

O Controle Adaptativo de Anomalias inicia automaticamente o bloqueio das ações associadas às regras que nunca foram acionadas no modo de treinamento.
O Kaspersky Endpoint Security adiciona novas regras ou remove as obsoletas.

O administrador configura o Controle Adaptativo de Anomalias depois de analisar o relatório de acionamento de regra e o conteúdo do armazenamento de detecção do Controle Adaptativo de Anomalias. Recomendamos examinar o relatório de acionamento de regra e o conteúdo do armazenamento de detecção do Controle Adaptativo de Anomalias.

Configurações do Controle Adaptativo de Anomalias para o Pro View

Parâmetro	SO	Descrição
Visualizar relatório → Estado das regras	`Windows`	Este relatório contém informações sobre o status das regras de detecção do Controle Adaptativo de Anomalias (por exemplo, Desativado ou Bloquear). O relatório é gerado para todos os grupos de administradores.
Visualizar relatório → Detecções	`Windows`	Este relatório contém informações sobre ações atípicas detectadas pelo Controle Adaptativo de Anomalias. O relatório é gerado para todos os grupos de administradores.
Regras	`Windows`	Quadro de regras do Controle Adaptativo de Anomalias. As regras são criadas pelos especialistas da Kaspersky com base em cenários típicos de atividade potencialmente maliciosa. As regras de Controle Adaptativo de Anomalias funcionam em um dos seguintes modos: Informar. O aplicativo permite a atividade coberta pela regra e registra uma entrada correspondente. Bloquear. O aplicativo bloqueia a atividade coberta pela regra e registra uma entrada correspondente. Inteligente. A regra funciona no estado de Treinamento inteligente por um período de tempo definido por especialista da Kaspersky. Neste modo, quando a regra é acionada, o aplicativo permite a atividade coberta pela regra e registra uma entrada no armazenamento de detecção do Controle Adaptativo de Anomalias. Após a conclusão do treinamento, outras ações são permitidas ou bloqueadas, dependendo dos resultados do treinamento. É possível definir exclusões para regras de Controle Adaptativo de Anomalias. Uma exclusão para regra de Controle Adaptativo de Anomalias inclui uma descrição dos objetos de origem e destino. O objeto de origem é aquele que executa as ações. O objeto de destino é aquele em que as ações estão sendo executadas. Por exemplo, você abriu um arquivo nomeado `file.xlsx`. Como resultado, um arquivo da biblioteca com a extensão DLL é carregado na memória do computador. Essa biblioteca é utilizada por um navegador (nome do arquivo executável `browser.exe`). Nesse exemplo, `arquivo.xlsx` é o objeto de origem, Excel é o processo de origem, `browser.exe` é o arquivo de destino e Navegador é o processo de destino.

Parâmetro

Descrição

Visualizar relatório → Estado das regras

Windows

Este relatório contém informações sobre o status das regras de detecção do Controle Adaptativo de Anomalias (por exemplo, Desativado ou Bloquear). O relatório é gerado para todos os grupos de administradores.

Visualizar relatório → Detecções

Windows

Este relatório contém informações sobre ações atípicas detectadas pelo Controle Adaptativo de Anomalias. O relatório é gerado para todos os grupos de administradores.

Regras

Windows

Quadro de regras do Controle Adaptativo de Anomalias. As regras são criadas pelos especialistas da Kaspersky com base em cenários típicos de atividade potencialmente maliciosa.

As regras de Controle Adaptativo de Anomalias funcionam em um dos seguintes modos:

Informar.
O aplicativo permite a atividade coberta pela regra e registra uma entrada correspondente.
Bloquear.
O aplicativo bloqueia a atividade coberta pela regra e registra uma entrada correspondente.
Inteligente.
A regra funciona no estado de Treinamento inteligente por um período de tempo definido por especialista da Kaspersky. Neste modo, quando a regra é acionada, o aplicativo permite a atividade coberta pela regra e registra uma entrada no armazenamento de detecção do Controle Adaptativo de Anomalias. Após a conclusão do treinamento, outras ações são permitidas ou bloqueadas, dependendo dos resultados do treinamento.

É possível definir exclusões para regras de Controle Adaptativo de Anomalias. Uma exclusão para regra de Controle Adaptativo de Anomalias inclui uma descrição dos objetos de origem e destino. O objeto de origem é aquele que executa as ações. O objeto de destino é aquele em que as ações estão sendo executadas. Por exemplo, você abriu um arquivo nomeado file.xlsx. Como resultado, um arquivo da biblioteca com a extensão DLL é carregado na memória do computador. Essa biblioteca é utilizada por um navegador (nome do arquivo executável browser.exe). Nesse exemplo, arquivo.xlsx é o objeto de origem, Excel é o processo de origem, browser.exe é o arquivo de destino e Navegador é o processo de destino.

Topo da página