Controle Adaptativo de Anomalias
O componente estará disponível se o Kaspersky Endpoint Security estiver instalado em um computador que rode o Windows para computadores pessoais. O componente estará indisponível se o Kaspersky Endpoint Security estiver instalado em um computador que rode o Windows para servidores.
O componente de Controle Adaptativo de Anomalias monitora e bloqueia ações suspeitas que não são típicas dos computadores em uma rede empresarial. O Controle Adaptativo de Anomalias usa um conjunto de regras para rastrear comportamentos incomuns (por exemplo, a regra Inicialização do Microsoft PowerShell pelo aplicativo Office). As regras são criadas pelos especialistas da Kaspersky com base em cenários típicos de atividade maliciosa. Você pode configurar como o Controle Adaptativo de Anomalias manipula cada regra e, por exemplo, permitir a execução de scripts do PowerShell que automatizam determinadas tarefas de fluxo de trabalho. Kaspersky Endpoint Security atualiza o conjunto de regras junto com os bancos de dados do aplicativo. As atualizações para os conjuntos de regras devem ser confirmadas manualmente.
Configurações de Controle Adaptativo de Anomalias
A configuração do controle Adaptativo de Anomalias adaptável consiste nas seguintes etapas:
- Treinamento do Controle Adaptativo de Anomalias.
Depois de ativar o Controle Adaptativo de Anomalias, suas regras funcionam modo de treinamento. Durante o treinamento, o Controle Adaptativo de Anomalias monitora o acionamento de regras e envia os eventos do Kaspersky Security Center. Cada regra tem sua própria duração do modo de treinamento. A duração do modo de treinamento é definida pelos especialistas da Kaspersky. Normalmente, o modo de treinamento é ativado por duas semanas.
Se uma regra não foi acionada durante o treinamento, o Controle Adaptativo de Anomalias considerará as ações associadas a essa regra como incomuns. O Kaspersky Endpoint Security irá bloquear todas as ações associadas a essa regra.
Caso uma regra tenha sido acionada durante o treinamento, o Kaspersky Endpoint Security registra os eventos no relatório de acionamento da regra e no repositório do Acionamento de regras no estado de Treinamento inteligente.
- Analisando o relatório de acionamento de regras.
O administrador analisa o relatório de acionamento da regra ou os conteúdos do repositório do Acionamento de regras no estado de Treinamento inteligente. Em seguida, o administrador pode selecionar o comportamento do Controle Adaptativo de Anomalias quando a regra for acionada: bloquear ou permitir. O administrador também pode continuar a monitorar como a regra funciona e estender a duração do modo de treinamento. Se o administrador não realizar nenhuma ação, o aplicativo também continuará a funcionar no modo de treinamento. O período do modo de treinamento é reiniciado.
O Controle Adaptativo de Anomalias é configurado em tempo real. O Controle Adaptativo de Anomalias é configurado através dos seguintes canais:
- O Controle Adaptativo de Anomalias inicia automaticamente o bloqueio das ações associadas às regras que nunca foram acionadas no modo de treinamento.
- O Kaspersky Endpoint Security adiciona novas regras ou remove as obsoletas.
- O administrador configura a operação do controle adaptativo de anomalias após revisar o relatório de acionamento de regras e o conteúdo do repositório do Acionamento de regras no estado de Treinamento inteligente. Recomenda-se a verificação do relatório de acionamento da regra e os conteúdos do repositório do Acionamento de regras no estado de Treinamento inteligente.
Quando um aplicativo malicioso tenta executar uma ação, o Kaspersky Endpoint Security bloqueia a ação e exibe uma notificação (veja a figura abaixo).
Notificações do Controle Adaptativo de Anomalias
Algoritmo operacional do Controle Adaptativo de Anomalias
O Kaspersky Endpoint Security decide se permite ou bloqueia uma ação associada a uma regra com base no algoritmo a seguir (veja a figura abaixo).
Algoritmo operacional do Controle Adaptativo de Anomalias