Contrôle évolutif des anomalies

pour Windows

Le module Contrôle évolutif des anomalies surveille et bloque les actions atypiques pour les ordinateurs du réseau d'une organisation. Le Contrôle évolutif des anomalies utilise un ensemble de règles pour surveiller les comportements inhabituels (par exemple, la règle Démarrage de Microsoft PowerShell à partir d'une application bureautique). Ces règles sont créées par les experts de Kaspersky sur la base de scénarios typiques d'activités malveillantes. Vous pouvez configurer la manière dont le Contrôle évolutif des anomalies gère chaque règle et, par exemple, autoriser l'exécution de scripts PowerShell qui automatisent certaines tâches de flux de travail. Kaspersky Endpoint Security met à jour l'ensemble de règles à l'aide les bases de données de l'application.

La configuration du Contrôle évolutif des anomalies comprend les étapes suivantes :

Apprentissage du Contrôle évolutif des anomalies
Une fois que le Contrôle évolutif des anomalies a été activé, les règles fonctionnent en mode d'apprentissage. Au cours de l'apprentissage, le Contrôle évolutif des anomalies surveille le déclenchement des règles et envoie les événements déclencheurs au serveur. La durée du mode d'apprentissage est propre à chaque règle. Celle-ci est définie par les experts de Kaspersky. En règle générale, le mode d'apprentissage dure 2 semaines.

Si une règle n'a jamais été déclenchée lors de l'apprentissage, le Contrôle évolutif des anomalies considère les actions associées à cette règle comme atypiques. Kaspersky Endpoint Security bloquera toutes les actions associées à cette règle.

Si la règle est déclenchée pendant la formation, Kaspersky Endpoint Security enregistre les événements dans le rapport de déclenchement de la règle et dans le stockage de détection du Contrôle évolutif des anomalies.
Analyse du rapport sur les déclenchements des règles
L'administrateur analyse le rapport de déclenchement de la règle ou le contenu du stockage de détection du Contrôle évolutif des anomalies. Ensuite, l'administrateur peut sélectionner le comportement du Contrôle évolutif des anomalies lors du déclenchement d'une règle : bloquer ou autoriser. En outre, l'administrateur peut continuer à surveiller le déclenchement de la règle et prolonger le fonctionnement d'application en mode d'apprentissage. Si l'administrateur ne prend aucune mesure, l'application continuera également à fonctionner en mode d'apprentissage. Le décompte de la durée du mode d'apprentissage est remis à zéro.

La configuration du Contrôle évolutif des anomalies se déroule en temps réel. La configuration du Contrôle évolutif des anomalies se déroule de la manière suivante :

Le Contrôle évolutif des anomalies commence automatiquement à bloquer les actions associées aux règles qui ne se sont pas déclenchées lors de l'apprentissage.
Kaspersky Endpoint Security ajoute de nouvelles règles ou supprime les règles qui ne sont plus pertinentes.

L'administrateur configure le Contrôle évolutif des anomalies après avoir analysé le rapport de déclenchement des règles et le contenu du stockage de détection du Contrôle évolutif des anomalies. Nous vous recommandons de consulter le rapport de déclenchement des règles et le contenu du stockage de détection du Contrôle évolutif des anomalies.

Paramètres du Contrôle évolutif des anomalies pour Pro View

Paramètre	Système d'exploitation	Description
Consulter le rapport → État des règles	`Windows`	Ce rapport contient des informations sur l'état des règles de détection du Contrôle évolutif des anomalies (par exemple, les états Désactivé ou Interdire). Le rapport est créé pour tous les groupes d'administration.
Consulter le rapport → Détections	`Windows`	Ce rapport contient les informations sur les actions suspectes détectées par le Contrôle évolutif des anomalies. Le rapport est créé pour tous les groupes d'administration.
Règles	`Windows`	Tableau des règles du Contrôle évolutif des anomalies Les règles ont été créées par les experts de Kaspersky sur la base des scénarios typiques d'activités potentiellement malveillantes. Les règles du Contrôle évolutif des anomalies fonctionnent dans un des modes suivants : Informer. L'application autorise l'activité couverte par la règle et enregistre l'entrée correspondante. Interdire. L'application bloque l'activité couverte par la règle et enregistre l'entrée correspondante. Intelligente. La règle fonctionne en mode Apprentissage intelligent pendant une période déterminée définie par les experts de Kaspersky. Dans ce mode, lorsque la règle est déclenchée, l'application autorise l'activité couverte par la règle et enregistre une entrée dans le stockage de détection du Contrôle évolutif des anomalies. À l'issue de l'apprentissage, les actions suivantes sont autorisées ou bloquées en fonction des résultats de l'apprentissage. Vous pouvez définir des exclusions pour les règles du Contrôle évolutif des anomalies. L'exclusion pour la règle du Contrôle évolutif des anomalies contient une description des objets source et cible. L'objet source est l'objet qui exécute l'action. L'objet cible est l'objet qui subit l'action. Par exemple, vous avez ouvert le fichier `file.xlsx`. Par conséquent, un fichier de bibliothèque avec l'extension DLL est chargé dans la mémoire de l'ordinateur. Cette bibliothèque est utilisée par un navigateur (fichier exécutable intitulé `browser.exe`). Dans l'exemple donné, `file.xlsx` est l'objet source. Excel est le processus source, `browser.exe` est l'objet cible et Browser, le processus cible.

Paramètre

Système d'exploitation

Description

Consulter le rapport → État des règles

Windows

Ce rapport contient des informations sur l'état des règles de détection du Contrôle évolutif des anomalies (par exemple, les états Désactivé ou Interdire). Le rapport est créé pour tous les groupes d'administration.

Consulter le rapport → Détections

Windows

Ce rapport contient les informations sur les actions suspectes détectées par le Contrôle évolutif des anomalies. Le rapport est créé pour tous les groupes d'administration.

Règles

Windows

Tableau des règles du Contrôle évolutif des anomalies Les règles ont été créées par les experts de Kaspersky sur la base des scénarios typiques d'activités potentiellement malveillantes.

Les règles du Contrôle évolutif des anomalies fonctionnent dans un des modes suivants :

Informer.
L'application autorise l'activité couverte par la règle et enregistre l'entrée correspondante.
Interdire.
L'application bloque l'activité couverte par la règle et enregistre l'entrée correspondante.
Intelligente.
La règle fonctionne en mode Apprentissage intelligent pendant une période déterminée définie par les experts de Kaspersky. Dans ce mode, lorsque la règle est déclenchée, l'application autorise l'activité couverte par la règle et enregistre une entrée dans le stockage de détection du Contrôle évolutif des anomalies. À l'issue de l'apprentissage, les actions suivantes sont autorisées ou bloquées en fonction des résultats de l'apprentissage.

Vous pouvez définir des exclusions pour les règles du Contrôle évolutif des anomalies. L'exclusion pour la règle du Contrôle évolutif des anomalies contient une description des objets source et cible. L'objet source est l'objet qui exécute l'action. L'objet cible est l'objet qui subit l'action. Par exemple, vous avez ouvert le fichier file.xlsx. Par conséquent, un fichier de bibliothèque avec l'extension DLL est chargé dans la mémoire de l'ordinateur. Cette bibliothèque est utilisée par un navigateur (fichier exécutable intitulé browser.exe). Dans l'exemple donné, file.xlsx est l'objet source. Excel est le processus source, browser.exe est l'objet cible et Browser, le processus cible.

Haut de page