Controllo adattivo delle anomalie
Il componente è disponibile se Kaspersky Endpoint Security è installato in un computer che esegue un sistema operativo Windows per workstation. Il componente non è disponibile se Kaspersky Endpoint Security è installato in un computer che esegue un sistema operativo Windows per server.
Il componente Controllo adattivo delle anomalie monitora e blocca le azioni non tipiche dei computer in una rete aziendale. Controllo adattivo delle anomalie utilizza un set di regole per monitorare i comportamenti non tipici (ad esempio, la regola Avvio di Microsoft PowerShell dall'applicazione Office). Le regole vengono create dagli esperti di Kaspersky in base agli scenari tipici delle attività dannose. È possibile configurare la modalità di gestione di ogni regola da parte di Controllo adattivo delle anomalie e, ad esempio, consentire l'esecuzione degli script PowerShell per l'automazione di determinate attività del flusso di lavoro. Kaspersky Endpoint Security aggiorna il set di regole insieme ai database dell'applicazione. Gli aggiornamenti dei set di regole devono essere confermati manualmente.
Impostazioni di Controllo adattivo delle anomalie
La configurazione di Controllo adattivo delle anomalie prevede i seguenti passaggi:
- Addestramento di Controllo adattivo delle anomalie.
In seguito all'attivazione di Controllo adattivo delle anomalie, le relative regole vengono eseguite in modalità addestramento. Durante l'addestramento, Controllo adattivo delle anomalie monitora l'attivazione delle regole e invia gli eventi di attivazione a Kaspersky Security Center. Ogni regola ha una durata specifica per la modalità di addestramento. La durata della modalità di addestramento è impostata dagli esperti di Kaspersky. In genere, la modalità di addestramento è attiva per due settimane.
Se una regola non è attivata durante l'addestramento, Controllo adattivo delle anomalie considererà non tipiche le azioni associate a tale regola. Kaspersky Endpoint Security bloccherà tutte le azioni associate alla regola.
Se è stata attivata una regola durante l'addestramento, Kaspersky Endpoint Security registra gli eventi nel rapporto sull'attivazione delle regole e nell'archivio Attivazione delle regole con stato Smart Training.
- Analisi del rapporto sull'attivazione delle regole.
L'amministratore analizza il rapporto sull'attivazione delle regole o i contenuti dell'archivio Attivazione delle regole con stato Smart Training. L'amministratore può quindi selezionare il comportamento di Controllo adattivo delle anomalie quando viene attivata la regola, scegliendo se bloccarla o consentirla. L'amministratore può inoltre continuare a monitorare la modalità di esecuzione della regola e prolungare la durata della modalità addestramento. Se l'amministratore non esegue alcuna azione, anche l'applicazione continuerà a funzionare in modalità addestramento. Il periodo della modalità addestramento viene riavviato.
Controllo adattivo delle anomalie viene configurato in tempo reale. Controllo adattivo delle anomalie viene configurato tramite i seguenti canali:
- Controllo adattivo delle anomalie inizia automaticamente a bloccare le azioni associate alle regole che non sono mai state attivate in modalità addestramento.
- Kaspersky Endpoint Security aggiunge nuove regole oppure rimuove quelle obsolete.
- L'amministratore configura l'esecuzione di Controllo adattivo delle anomalie dopo l'analisi del rapporto sull'attivazione delle regole e dei contenuti dell'archivio Attivazione delle regole con stato Smart Training. È consigliabile consultare il rapporto sull'attivazione delle regole e i contenuti dell'archivio Attivazione delle regole con stato Smart Training.
Quando un'applicazione dannosa tenta di eseguire un'azione, Kaspersky Endpoint Security blocca l'azione e visualizza una notifica (vedere la figura seguente).
Notifica di Controllo adattivo delle anomalie
Algoritmo operativo di Controllo adattivo delle anomalie
Kaspersky Endpoint Security decide se consentire o bloccare un'azione associata a una regola in base al seguente algoritmo (vedere la figura seguente).
Algoritmo operativo di Controllo adattivo delle anomalie
Impostazioni del componente Controllo adattivo delle anomalie
Parametro |
Descrizione |
|---|---|
Rapporto sullo stato delle regole di Controllo adattivo delle anomalie (disponibile solo in Kaspersky Security Center Console) |
Questo rapporto contiene informazioni sullo stato delle regole di rilevamento di Controllo adattivo delle anomalie (ad esempio Disabilitato o Blocca). Il rapporto viene generato per tutti i gruppi di amministrazione. |
Rapporto sulle regole attivate di Controllo adattivo delle anomalie (disponibile solo in Kaspersky Security Center Console) |
Questo rapporto contiene informazioni sulle azioni non tipiche rilevate da Controllo adattivo delle anomalie. Il rapporto viene generato per tutti i gruppi di amministrazione. |
Regole |
Tabella delle regole di Controllo adattivo delle anomalie. Le regole vengono create dagli esperti di Kaspersky in base agli scenari tipici delle attività potenzialmente dannose. |
Modelli |
Messaggio relativo al blocco. Modello del messaggio visualizzato a un utente quando viene attivata una regola di Controllo adattivo delle anomalie che blocca un'azione non tipica. Messaggio all'amministratore. Modello del messaggio che un utente può inviare all'amministratore della rete aziendale locale se l'utente ritiene che il blocco sia un errore. Dopo che l'utente ha richiesto di fornire l'accesso, Kaspersky Endpoint Security invia un evento a Kaspersky Security Center: Messaggio all'amministratore per il blocco dell'attività di un'applicazione. La descrizione dell'evento contiene un messaggio all'amministratore con variabili sostituite. È possibile visualizzare questi eventi nella console di Kaspersky Security Center utilizzando la selezione di eventi predefinita Richieste utente. Se nell'organizzazione non è installato Kaspersky Security Center o non è presente alcuna connessione ad Administration Server, l'applicazione invierà un messaggio all'amministratore all'indirizzo e-mail specificato. |