Controllo adattivo delle anomalie

per Windows

Il componente Controllo adattivo delle anomalie monitora e blocca le azioni non tipiche dei computer in una rete aziendale. Controllo adattivo delle anomalie usa un set di regole per tenere traccia dei comportamenti non tipici (ad esempio la regola di Avvio di Microsoft PowerShell da applicazione per ufficio). Le regole vengono create dagli specialisti di Kaspersky in base a scenari tipici di attività dannose. È possibile configurare il modo in cui Controllo adattivo delle anomalie gestisce ogni regola e, ad esempio, consentire l'esecuzione degli script PowerShell che automatizzano determinate attività del flusso di lavoro. Kaspersky Endpoint Security aggiorna il set di regole insieme ai database dell'applicazione.

La configurazione di Controllo adattivo delle anomalie prevede i seguenti passaggi:

Addestramento di Controllo adattivo delle anomalie.
In seguito all'attivazione di Controllo adattivo delle anomalie, le relative regole vengono eseguite in modalità addestramento. Durante la formazione, Controllo adattivo delle anomalie monitora l'attivazione delle regole e invia gli eventi di attivazione al server. Ogni regola ha una durata specifica per la modalità di addestramento. La durata della modalità di addestramento è impostata dagli esperti di Kaspersky. In genere, la modalità di addestramento è attiva per due settimane.

Se una regola non è attivata durante l'addestramento, Controllo adattivo delle anomalie considererà non tipiche le azioni associate a tale regola. Kaspersky Endpoint Security bloccherà tutte le azioni associate alla regola.

Se la regola viene attivata durante la formazione, Kaspersky Endpoint Security registra gli eventi nel rapporto di attivazione della regola e nell'archivio di rilevamento di Controllo adattivo delle anomalie.
Analisi del rapporto sull'attivazione delle regole.
L'amministratore analizza il rapporto sull'attivazione delle regole o i contenuti dell'archivio di rilevamento di Controllo adattivo delle anomalie. L'amministratore può quindi selezionare il comportamento di Controllo adattivo delle anomalie quando viene attivata la regola, scegliendo se bloccarla o consentirla. L'amministratore può inoltre continuare a monitorare la modalità di esecuzione della regola e prolungare la durata della modalità addestramento. Se l'amministratore non esegue alcuna azione, anche l'applicazione continuerà a funzionare in modalità addestramento. Il periodo della modalità addestramento viene riavviato.

Controllo adattivo delle anomalie viene configurato in tempo reale. Controllo adattivo delle anomalie viene configurato tramite i seguenti canali:

Controllo adattivo delle anomalie inizia automaticamente a bloccare le azioni associate alle regole che non sono mai state attivate in modalità addestramento.
Kaspersky Endpoint Security aggiunge nuove regole oppure rimuove quelle obsolete.

L'amministratore configura Controllo adattivo delle anomalie dopo aver analizzato il rapporto di attivazione della regola e il contenuto dell'archivio di rilevamento di Controllo adattivo delle anomalie. È consigliabile esaminare il rapporto di attivazione della regola e il contenuto dell'archivio di rilevamento di Controllo adattivo delle anomalie.

Impostazioni di Controllo adattivo delle anomalie per Pro View

Parametro	Sistema operativo	Descrizione
Visualizza rapporto → Stato regole	`Windows`	Questo rapporto contiene informazioni sullo stato delle regole di rilevamento di Controllo adattivo delle anomalie (ad esempio Disabilitato o Blocca). Il rapporto viene generato per tutti i gruppi di amministrazione.
Visualizza rapporto → Rilevamenti	`Windows`	Questo rapporto contiene informazioni sulle azioni non tipiche rilevate da Controllo adattivo delle anomalie. Il rapporto viene generato per tutti i gruppi di amministrazione.
Regole	`Windows`	Tabella delle regole di Controllo adattivo delle anomalie. Le regole vengono create dagli esperti di Kaspersky in base agli scenari tipici delle attività potenzialmente dannose. Le regole di Controllo adattivo delle anomalie funzionano in una delle seguenti modalità: Informa. L'applicazione consente l'attività coperta dalla regola e registra una voce corrispondente. Blocca. L'applicazione blocca l'attività coperta dalla regola e registra una voce corrispondente. Azione smart. La regola funziona nello stato Smart Training per un periodo di tempo definito dagli esperti Kaspersky. In questa modalità, quando la regola viene attivata, l'applicazione consente l'attività coperta dalla regola e registra una voce nell'archivio di rilevamento Controllo adattivo delle anomalie. Al termine della formazione verranno consentite o bloccate ulteriori azioni in base ai risultati della formazione. È possibile definire le esclusioni per le regole di Controllo adattivo delle anomalie. Un'esclusione per una regola di Controllo adattivo delle anomalie include una descrizione degli oggetti di origine e di destinazione. L'oggetto di origine è l'oggetto che esegue le azioni. L'oggetto di destinazione è l'oggetto in cui vengono eseguite le azioni. È stato ad esempio aperto un file denominato `file.xlsx`. In seguito a questa operazione, viene caricato nella memoria del computer un file della libreria con estensione DLL. Questa libreria è utilizzata da un browser (file eseguibile denominato `browser.exe`). In questo esempio `file.xlsx` è l'oggetto di origine, Excel è il processo di origine, `browser.exe` è l'oggetto di destinazione e Browser è il processo di destinazione.

Parametro

Sistema operativo

Descrizione

Visualizza rapporto → Stato regole

Windows

Questo rapporto contiene informazioni sullo stato delle regole di rilevamento di Controllo adattivo delle anomalie (ad esempio Disabilitato o Blocca). Il rapporto viene generato per tutti i gruppi di amministrazione.

Visualizza rapporto → Rilevamenti

Windows

Questo rapporto contiene informazioni sulle azioni non tipiche rilevate da Controllo adattivo delle anomalie. Il rapporto viene generato per tutti i gruppi di amministrazione.

Regole

Windows

Tabella delle regole di Controllo adattivo delle anomalie. Le regole vengono create dagli esperti di Kaspersky in base agli scenari tipici delle attività potenzialmente dannose.

Le regole di Controllo adattivo delle anomalie funzionano in una delle seguenti modalità:

Informa.
L'applicazione consente l'attività coperta dalla regola e registra una voce corrispondente.
Blocca.
L'applicazione blocca l'attività coperta dalla regola e registra una voce corrispondente.
Azione smart.
La regola funziona nello stato Smart Training per un periodo di tempo definito dagli esperti Kaspersky. In questa modalità, quando la regola viene attivata, l'applicazione consente l'attività coperta dalla regola e registra una voce nell'archivio di rilevamento Controllo adattivo delle anomalie. Al termine della formazione verranno consentite o bloccate ulteriori azioni in base ai risultati della formazione.

È possibile definire le esclusioni per le regole di Controllo adattivo delle anomalie. Un'esclusione per una regola di Controllo adattivo delle anomalie include una descrizione degli oggetti di origine e di destinazione. L'oggetto di origine è l'oggetto che esegue le azioni. L'oggetto di destinazione è l'oggetto in cui vengono eseguite le azioni. È stato ad esempio aperto un file denominato file.xlsx. In seguito a questa operazione, viene caricato nella memoria del computer un file della libreria con estensione DLL. Questa libreria è utilizzata da un browser (file eseguibile denominato browser.exe). In questo esempio file.xlsx è l'oggetto di origine, Excel è il processo di origine, browser.exe è l'oggetto di destinazione e Browser è il processo di destinazione.

Inizio pagina