Control de anomalías adaptativo
Este componente está disponible si Kaspersky Endpoint Security se instala en un equipo con Windows para estaciones de trabajo. Este componente no está disponible si Kaspersky Endpoint Security está instalado en un equipo con Windows para servidores.
El componente Control de anomalías adaptativo detecta y bloquea acciones que no son típicas de los equipos en una red de la empresa. El Control de anomalías adaptativo utiliza un conjunto de reglas para supervisar el comportamiento atípico (por ejemplo, la regla Inicio de Microsoft Powershell desde una aplicación de Office). Los especialistas de Kaspersky crean las reglas sobre la base de los escenarios habituales de actividad maliciosa. Puede configurar el modo en que el Control de anomalías adaptativo gestiona cada regla y, por ejemplo, permitir la ejecución de scripts de PowerShell que automatizan determinadas tareas de flujo de trabajo. Kaspersky Endpoint Security actualiza el conjunto de reglas junto con las bases de datos de la aplicación. Las actualizaciones de los conjuntos de reglas deben confirmarse manualmente.
Parámetros del Control de anomalías adaptativo
Para configurar el Control de anomalías adaptativo se tienen que realizar los pasos siguientes:
- Autoaprendizaje del Control de anomalías adaptativo.
Después de habilitar el Control de anomalías adaptativo, sus reglas funcionan en el modo de autoaprendizaje. Durante el aprendizaje, el Control de anomalías adaptativo supervisa la activación de reglas y envía eventos de activación a Kaspersky Security Center. Cada regla tiene su propia duración del modo de autoaprendizaje. La duración del modo de autoaprendizaje es establecida por los expertos de Kaspersky. Por lo general, el modo de autoaprendizaje está activo durante dos semanas.
Si una regla no se ha activado nunca durante el autoaprendizaje, el Control de anomalías adaptativo considerará las acciones asociadas a esta regla como no típicas. Kaspersky Endpoint Security bloqueará todas las acciones asociadas a esa regla.
Si se activó una regla durante el autoaprendizaje, Kaspersky Endpoint Security registra los eventos en el informe de activación de las reglas y en el repositorio de Activación de reglas en el estado Aprendizaje inteligente.
- Analizar el informe de activación de las reglas.
El administrador analiza el informe de activación de las reglas o los contenidos del repositorio de Activación de reglas en el estado Aprendizaje inteligente. A continuación, el administrador puede seleccionar el comportamiento del Control de anomalías adaptativo cuando se active la regla para bloquearlo o permitirlo. El administrador también puede seguir supervisando el funcionamiento de la regla y ampliar su duración durante el modo de autoaprendizaje. Si el administrador no realiza ninguna acción, la aplicación también seguirá funcionando en el modo de autoaprendizaje. El plazo de aprendizaje se reiniciará.
El Control de anomalías adaptativo se configura en tiempo real. El Control de anomalías adaptativo se configura a través de los siguientes canales:
- El Control de anomalías adaptativo empieza a bloquear automáticamente las acciones asociadas con las reglas que no se activaron nunca en el modo de autoaprendizaje.
- Kaspersky Endpoint Security añade nuevas reglas o elimina las obsoletas.
- El administrador configura el funcionamiento del Control de anomalías adaptativo tras revisar el informe de activación de las reglas o los contenidos del repositorio de Activación de reglas en el estado Aprendizaje inteligente. Se recomienda comprobar el informe de activación de las reglas o los contenidos del repositorio de Activación de reglas en el estado Aprendizaje inteligente.
Cuando una aplicación maliciosa intenta realizar una acción, Kaspersky Endpoint Security bloqueará dicha acción y mostrará una notificación (vea la figura a continuación).
Notificación del Control de anomalías adaptativo
Algoritmo de funcionamiento del Control de anomalías adaptativo
Kaspersky Endpoint Security decide si se autoriza o se bloquea una acción que esté asociada con una regla de acuerdo al siguiente algoritmo (consulte la siguiente figura).
Algoritmo de funcionamiento del Control de anomalías adaptativo
Parámetros del componente Control de anomalías adaptativo
Parámetro |
Descripción |
|---|---|
Informe de estado de reglas de Control de anomalías adaptativo (disponible solo en la Consola de Kaspersky Security Center) |
Este informe contiene información sobre el estado de las reglas de detección del Control de anomalías adaptativo (por ejemplo, la regla Desactivado o Bloquear). Este informe se genera para todos los grupos de administración. |
Informe de reglas de Control de anomalías adaptativo activado (disponible solo en la Consola de Kaspersky Security Center) |
Este informe contiene información sobre las acciones no típicas detectadas al usar el Control de anomalías adaptativo. Este informe se genera para todos los grupos de administración. |
Reglas |
Tabla de reglas del Control de anomalías adaptativo Los especialistas de Kaspersky crean las reglas sobre la base de los escenarios habituales de actividad potencialmente maliciosa. |
Plantillas |
Mensaje sobre el bloqueo. Plantilla del mensaje que se muestra a un usuario cuando se activa una regla del Control de anomalías adaptativo que bloquea una acción no típica. Mensaje para el administrador. Plantilla del mensaje que un usuario puede enviar al administrador de la red corporativa local si el usuario considera que el bloqueo es un error. Después de que el usuario solicite acceso, Kaspersky Endpoint Security envía un evento a Kaspersky Security Center: Mensaje al administrador por bloqueo de la actividad de aplicaciones. La descripción del evento contiene un mensaje para el administrador con variables sustituidas. Puede ver estos eventos en la consola de Kaspersky Security Center usando la selección de eventos predefinida Solicitudes de usuarios. Si su organización no tiene implementado Kaspersky Security Center o no hay conexión con el Servidor de administración, la aplicación enviará un mensaje al administrador a la dirección de correo electrónico especificada. |