Crear una exclusión de una regla del Control de anomalías adaptativo

No es posible crear más de 1000 exclusiones para las reglas del Control de anomalías adaptativo. No se recomienda crear más de 200 exclusiones. Si necesita reducir el número de exclusiones que utiliza, considere usar máscaras en la configuración de las exclusiones.

Una exclusión de una regla del Control de anomalías adaptable incluye una descripción de los objetos de origen y de destino. El objeto de origen es el que realiza las acciones. El objeto de destino es el que se ve afectado por dichas acciones. Supongamos que se abre un archivo denominado file.xlsx. Como resultado se carga en la memoria del equipo un archivo de biblioteca con la extensión DLL. Esta biblioteca se utiliza en un navegador (archivo ejecutable denominado browser.exe). En el marco de este ejemplo, file.xlsx es el objeto de origen, Excel es el proceso de origen, browser.exe es el objeto de destino y Navegador es el proceso de destino.

Para crear una exclusión de una regla del Control de anomalías adaptativo:

  1. En la ventana de la aplicación principal, haga clic en el botón Icono de configuración de la aplicación en forma de rueda dentada..
  2. En la ventana de configuración de la aplicación, seleccione Controles de seguridadControl de anomalías adaptativo.
  3. En el bloque Reglas, haga clic en el botón Editar reglas.

    Se abre la lista de reglas de Control de anomalías adaptativo.

  4. Seleccione una regla en la tabla.
  5. Haga clic en Editar.

    Se abre la ventana de propiedades de las reglas de Control de anomalías adaptativo.

  6. En el bloque Exclusiones, haga clic en el botón Añadir.

    Se abre la ventana de propiedades de exclusiones.

  7. Seleccione el usuario para el que desea configurar una exclusión.

    Puede seleccionar usuarios en Active Directory, en la lista de cuentas de Kaspersky Security Center o al introducir un nombre de usuario local de forma manual. Kaspersky recomienda utilizar cuentas de usuario locales solo en casos especiales cuando no es posible utilizar cuentas de usuario de dominio.

    El Control de anomalías adaptativo no admite exclusiones para grupos de usuarios. Si selecciona un grupo de usuarios, Kaspersky Endpoint Security no aplicará la exclusión.

  8. En el campo Descripción, describa la exclusión.
  9. Defina los parámetros del objeto de origen o de el proceso de origen iniciados por el objeto:
    • Proceso de origen. Ruta (o máscara de ruta) de acceso al archivo o a una carpeta con archivos (por ejemplo, C:\Dir\File.exe o Dir\*.exe).
    • Hash del proceso de origen. Código hash del archivo.
    • Objeto de origen. Ruta (o máscara de ruta) de acceso al archivo o a una carpeta con archivos (por ejemplo, C:\Dir\File.exe o Dir\*.exe). También podría usar, por ejemplo, la ruta a un archivo de nombre document.docm, que utilice un script o una macro para iniciar los procesos de destino.

      También es posible especificar otras clases de objetos, como direcciones web, macros, comandos para la línea de comandos o rutas del Registro. Para ello, utilice la plantilla: object://<object>, donde <object> indica el nombre del objeto; por ejemplo, object://web.site.example.com, object://VBA, object://ipconfig, object://HKEY_USERS. También puede usar máscaras (por ejemplo, object://*C:\Windows\temp\*).

    • Hash de objeto de origen. Código hash del archivo.

    La regla del Control de anomalías adaptable no se aplicará a las acciones que el objeto realice o a los procesos que el objeto inicie.

  10. Especifique los parámetros del objeto de destino o de los procesos de destino iniciados en los que el objeto esté involucrado.
    • Proceso de destino. Ruta (o máscara de ruta) de acceso al archivo o a una carpeta con archivos (por ejemplo, C:\Dir\File.exe o Dir\*.exe).
    • Hash del proceso de destino. Código hash del archivo.
    • Objeto de destino. Comando para iniciar el proceso de destino. Para especificar el comando, utilice el modelo object://<command> (por ejemplo, object://cmdline:powershell -Command "$result = 'C:\Windows\temp\result_local_users_pwdage.txt'"). También puede usar máscaras (por ejemplo, object://*C:\Windows\temp\*).
    • Hash de objeto de destino. Código hash del archivo.

    La regla del Control de anomalías adaptable no se aplicará a las acciones que afecten al objeto o a los procesos en los que el objeto esté involucrado.

  11. Guarde los cambios.
Inicio de página