Control de anomalías adaptativo
Para que pueda usar este componente, Kaspersky Endpoint Security debe estar instalado en un equipo con Windows para estaciones de trabajo. El componente no estará disponible si Kaspersky Endpoint Security se ha instalado en un equipo con Windows para servidores.
El componente Control de anomalías adaptativo detecta y bloquea acciones que no son típicas de los equipos conectados a una red corporativa. Para ello utiliza una serie de reglas, diseñadas para buscar comportamientos que no se consideran típicos (por ejemplo, la regla Inicio de Microsoft PowerShell desde una aplicación de ofimática). Los especialistas de Kaspersky crean estas reglas basándose en casos característicos de actividad maliciosa. La manera en que el Control de anomalías adaptativo responde ante cada regla es configurable; esto significa que, por ejemplo, es posible permitir la ejecución de scripts de PowerShell que se hayan creado para automatizar ciertos aspectos de un flujo de trabajo. Las reglas se actualizan junto con las bases de datos de Kaspersky Endpoint Security. No obstante, las actualizaciones para las reglas deben confirmarse manualmente.
Configuración del Control de anomalías adaptativo
Los pasos para configurar el Control de anomalías adaptativo son los siguientes:
- Usar el modo de aprendizaje del Control de anomalías adaptativo.
Una vez que el Control de anomalías adaptativo se habilita, sus reglas entran en un modo de aprendizaje. Mientras dicho modo está activo, el Control de anomalías adaptativo monitorea la activación de las reglas y envía los eventos de activación a Kaspersky Security Center. El tiempo de aprendizaje varía según la regla. Quienes definen la duración son los expertos de Kaspersky. Lo normal es que el modo de aprendizaje esté activo por dos semanas.
Si una regla no se activa en lo absoluto durante el período de aprendizaje, el componente considerará que las acciones asociadas con la regla son atípicas. En consecuencia, Kaspersky Endpoint Security bloqueará cualquier acción vinculada con esa regla.
Si una regla sí se activa durante el período de aprendizaje, Kaspersky Endpoint Security dejará constancia de los eventos en el informe de activación de las reglas y en el repositorio Activación de reglas en estado Aprendizaje inteligente.
- Analizar el informe de activación de las reglas.
El administrador analiza el informe de activación de las reglas o el contenido del repositorio Activación de reglas en estado Aprendizaje inteligente. A continuación, selecciona cómo reaccionará el Control de anomalías adaptativo cuando se active una regla; las opciones posibles son permitir y bloquear. El administrador también puede optar por seguir controlando el funcionamiento de la regla y extender la duración del modo de aprendizaje. Si el administrador no realiza ninguna acción, la aplicación seguirá operando en modo de aprendizaje. El plazo de aprendizaje se reiniciará.
El componente Control de anomalías adaptativo se configura en tiempo real. Los canales de configuración son los siguientes:
- El Control de anomalías adaptativo comienza a bloquear automáticamente las acciones asociadas con las reglas que nunca se activaron en el modo de aprendizaje.
- Kaspersky Endpoint Security agrega reglas nuevas o elimina las que han quedado obsoletas.
- El administrador configura el funcionamiento del Control de anomalías adaptativo tras revisar el informe de activación de reglas y el contenido del repositorio Activación de reglas en estado Aprendizaje inteligente. Se recomienda revisar el informe de activación de reglas y el contenido del repositorio Activación de reglas en estado Aprendizaje inteligente.
Cuando una aplicación maliciosa intente realizar una acción, Kaspersky Endpoint Security bloqueará el intento y mostrará una notificación (consulte la siguiente imagen).
Notificación del Control de anomalías adaptativo
Algoritmo de funcionamiento del Control de anomalías adaptativo
Para determinar si una acción asociada a una regla debe permitirse o bloquearse, Kaspersky Endpoint Security usa el algoritmo de la siguiente imagen.
Algoritmo de funcionamiento del Control de anomalías adaptativo
Parámetros del componente Control de anomalías adaptativo
Parámetro |
Descripción |
|---|---|
Informe sobre el estado de las reglas del Control de anomalías adaptativo (disponible solo en la Consola de Kaspersky Security Center) |
Informe sobre el estado asignado a las reglas de detección del Control de anomalías adaptativo (por ejemplo, Deshabilitado o Bloquear). El informe se genera para todos los grupos de administración. |
Informe sobre las reglas activadas del Control de anomalías adaptativo (disponible solo en la Consola de Kaspersky Security Center) |
Informe sobre las acciones atípicas detectadas por el Control de anomalías adaptativo. El informe se genera para todos los grupos de administración. |
Reglas |
Tabla de reglas del Control de anomalías adaptativo. Los especialistas de Kaspersky crean las reglas basándose en casos característicos de actividad potencialmente maliciosa. |
Plantillas |
Mensaje para bloqueos. Plantilla del mensaje que se le mostrará al usuario cuando se active una regla del Control de anomalías adaptativo para bloquear una acción atípica. Mensaje para el administrador. Plantilla del mensaje que el usuario le puede enviar al administrador de la red local corporativa si considera que una acción se bloqueó por error. Después de que el usuario solicita proporcionar acceso, Kaspersky Endpoint Security envía un evento a Kaspersky Security Center: Mensaje de bloqueo de actividad de aplicación enviado al administrador. La descripción del evento contiene un mensaje para el administrador con variables sustituidas. Puede ver estos eventos en la consola de Kaspersky Security Center a través de la selección de eventos predefinida Solicitudes de usuario. Si su organización no tiene implementado Kaspersky Security Center o no hay conexión con el Servidor de administración, la aplicación enviará un mensaje al administrador a la dirección de correo electrónico especificada. |