Controlo de Anomalias Adaptativo
Este componente está disponível se o Kaspersky Endpoint Security estiver instalado num computador que utiliza o Windows para estações de trabalho. Este componente não está disponível se o Kaspersky Endpoint Security estiver instalado num computador que utiliza o Windows para servidores.
O componente Controlo de Anomalias Adaptativo monitoriza e bloqueia ações que não são típicas dos computadores na rede de uma empresa. O Controlo de Anomalias Adaptativo usa um conjunto de regras para rastrear comportamento invulgar (por exemplo, a regra Início da Microsoft PowerShell da aplicação de ambiente de trabalho). As regras são criadas pelos especialistas da Kaspersky com base em cenários típicos de atividade maliciosa. Pode configurar o modo como o Controlo de Anomalias Adaptativo manuseia cada regra e, por exemplo, permitir a execução de scripts do PowerShell que automatizam determinadas tarefas do fluxo de trabalho. O Kaspersky Endpoint Security atualiza o conjunto de regras a par das bases de dados da aplicação. As atualizações dos conjuntos de regras devem ser confirmadas manualmente.
Definições do Controlo de Anomalias Adaptativo
A configuração do Controlo de Anomalias Adaptativo consiste nas seguintes etapas:
- Formação do Controlo de Anomalias Adaptativo.
Depois de ativar o Controlo de Anomalias Adaptativo, as suas regras funcionam no modo de formação. Durante a formação, o Controlo de Anomalias Adaptativo monitoriza o acionamento de regras e envia os eventos de acionamento para o Kaspersky Security Center. Cada regra tem sua própria duração do modo de formação. A duração do modo de formação é estabelecida por peritos da Kaspersky. Normalmente, o modo de formação fica ativo durante duas semanas.
Se uma regra não for acionada de todo durante a formação, o Controlo de Anomalias Adaptativo irá considerar as ações associadas a esta regra como não típicas. O Kaspersky Endpoint Security irá bloquear todas as ações associadas a essa regra.
Se uma regra for acionada durante a formação, o Kaspersky Endpoint Security regista os eventos no relatório de acionamento da regra e no repositório Triggering of rules in Smart Training state.
- A analisar o relatório de acionamento de regras.
O administrador analisa o relatório de acionamento de regras ou o conteúdo do repositório do Triggering of rules in Smart Training state. O administrador pode então selecionar o comportamento do Controlo de Anomalias Adaptativo quando a regra é acionada: bloquear ou permitir. O administrador pode também continuar a monitorizar o funcionamento da regra e prolongar a duração do modo de formação. Se o administrador não realizar nenhuma ação, a aplicação continuará também a funcionar no modo de formação. O prazo do modo de formação é reiniciado.
O Controlo de Anomalias Adaptativo é configurado em tempo real. O Controlo de Anomalias Adaptativo é configurado através dos seguintes canais:
- O Controlo de Anomalias Adaptativo começa automaticamente a bloquear as ações associadas às regras que nunca foram acionadas no modo de formação.
- O Kaspersky Endpoint Security adiciona novas regras ou remove as obsoletas.
- O administrador configura a operação do Controlo de Anomalias Adaptativo depois de rever o relatório do acionamento de regras e o conteúdo do repositório de Triggering of rules in Smart Training state. Recomenda-se a verificação do relatório de acionamento de regras e o conteúdo do repositório de Triggering of rules in Smart Training state.
Quando uma aplicação maliciosa tentar realizar uma ação, o Kaspersky Endpoint Security irá bloquear a ação e exibir uma notificação (ver figura abaixo).
Notificação do Controlo de Anomalias Adaptativo
Algoritmo operacional do Controlo de Anomalias Adaptativo
O Kaspersky Endpoint Security decide se permite ou bloqueia uma ação associada a uma regra com base no seguinte algoritmo (ver figura abaixo).
Algoritmo operacional do Controlo de Anomalias Adaptativo