Control de anomalías adaptativo

Para que pueda usar este componente, Kaspersky Endpoint Security debe estar instalado en un equipo con Windows para estaciones de trabajo. El componente no estará disponible si Kaspersky Endpoint Security se ha instalado en un equipo con Windows para servidores.

El componente Control de anomalías adaptativo detecta y bloquea acciones que no son típicas de los equipos conectados a una red corporativa. Para ello utiliza una serie de reglas, diseñadas para buscar comportamientos que no se consideran típicos (por ejemplo, la regla Inicio de Microsoft PowerShell desde una aplicación de ofimática). Los especialistas de Kaspersky crean estas reglas basándose en casos característicos de actividad maliciosa. La manera en que el Control de anomalías adaptativo responde ante cada regla es configurable; esto significa que, por ejemplo, es posible permitir la ejecución de scripts de PowerShell que se hayan creado para automatizar ciertos aspectos de un flujo de trabajo. Las reglas se actualizan junto con las bases de datos de Kaspersky Endpoint Security. No obstante, las actualizaciones para las reglas deben confirmarse manualmente.

Configuración del Control de anomalías adaptativo

Los pasos para configurar el Control de anomalías adaptativo son los siguientes:

1. Usar el modo de aprendizaje del Control de anomalías adaptativo.

   Una vez que el Control de anomalías adaptativo se habilita, sus reglas entran en un modo de aprendizaje. Mientras dicho modo está activo, el Control de anomalías adaptativo monitorea la activación de las reglas y envía los eventos de activación a Kaspersky Security Center. El tiempo de aprendizaje varía según la regla. Quienes definen la duración son los expertos de Kaspersky. Lo normal es que el modo de aprendizaje esté activo por dos semanas.

   Si una regla no se activa en lo absoluto durante el período de aprendizaje, el componente considerará que las acciones asociadas con la regla son atípicas. En consecuencia, Kaspersky Endpoint Security bloqueará cualquier acción vinculada con esa regla.

   Si una regla sí se activa durante el período de aprendizaje, Kaspersky Endpoint Security dejará constancia de los eventos en el informe de activación de las reglas y en el repositorio Activación de reglas en estado Aprendizaje inteligente.

2. Analizar el informe de activación de las reglas.

   El administrador analiza el informe de activación de las reglas o el contenido del repositorio Activación de reglas en estado Aprendizaje inteligente. A continuación, selecciona cómo reaccionará el Control de anomalías adaptativo cuando se active una regla; las opciones posibles son permitir y bloquear. El administrador también puede optar por seguir controlando el funcionamiento de la regla y extender la duración del modo de aprendizaje. Si el administrador no realiza ninguna acción, la aplicación seguirá operando en modo de aprendizaje. El plazo de aprendizaje se reiniciará.

El componente Control de anomalías adaptativo se configura en tiempo real. Los canales de configuración son los siguientes:

• El Control de anomalías adaptativo comienza a bloquear automáticamente las acciones asociadas con las reglas que nunca se activaron en el modo de aprendizaje.
• Kaspersky Endpoint Security agrega reglas nuevas o elimina las que han quedado obsoletas.
• El administrador configura el funcionamiento del Control de anomalías adaptativo tras revisar el informe de activación de reglas y el contenido del repositorio Activación de reglas en estado Aprendizaje inteligente. Se recomienda revisar el informe de activación de reglas y el contenido del repositorio Activación de reglas en estado Aprendizaje inteligente.

Cuando una aplicación maliciosa intente realizar una acción, Kaspersky Endpoint Security bloqueará el intento y mostrará una notificación (consulte la siguiente imagen).

Notificación del Control de anomalías adaptativo

Algoritmo de funcionamiento del Control de anomalías adaptativo

Para determinar si una acción asociada a una regla debe permitirse o bloquearse, Kaspersky Endpoint Security usa el algoritmo de la siguiente imagen.

Algoritmo de funcionamiento del Control de anomalías adaptativo

En esta sección Habilitación y deshabilitación del Control de anomalías adaptativo Habilitación y deshabilitación de una regla del Control de anomalías adaptativo Cambio de la acción que se realiza al activarse una regla del Control de anomalías adaptativo Crear una exclusión para una regla del Control de anomalías adaptativo Exportar e importar exclusiones para reglas del Control de anomalías adaptativo Actualización de las reglas del Control de anomalías adaptativo Modificación de las plantillas de mensajes del Control de anomalías adaptativo Visualización de los informes del Control de anomalías adaptativo

Inicio de página