Controlo de Anomalias Adaptativo
Este componente está disponível se o Kaspersky Endpoint Security estiver instalado num computador que utiliza o Windows para estações de trabalho. Este componente não está disponível se o Kaspersky Endpoint Security estiver instalado num computador que utiliza o Windows para servidores.
O componente Controlo de Anomalias Adaptativo monitoriza e bloqueia ações que não são típicas dos computadores na rede de uma empresa. O Controlo de Anomalias Adaptativo usa um conjunto de regras para rastrear comportamento invulgar (por exemplo, a regra Início da Microsoft PowerShell da aplicação de ambiente de trabalho). As regras são criadas pelos especialistas da Kaspersky com base em cenários típicos de atividade maliciosa. Pode configurar o modo como o Controlo de Anomalias Adaptativo manuseia cada regra e, por exemplo, permitir a execução de scripts do PowerShell que automatizam determinadas tarefas do fluxo de trabalho. O Kaspersky Endpoint Security atualiza o conjunto de regras a par das bases de dados da aplicação. As atualizações dos conjuntos de regras devem ser confirmadas manualmente.
Definições do Controlo de Anomalias Adaptativo
A configuração do Controlo de Anomalias Adaptativo consiste nas seguintes etapas:
- Formação do Controlo de Anomalias Adaptativo.
Depois de ativar o Controlo de Anomalias Adaptativo, as suas regras funcionam no modo de formação. Durante a formação, o Controlo de Anomalias Adaptativo monitoriza o acionamento de regras e envia os eventos de acionamento para o Kaspersky Security Center. Cada regra tem sua própria duração do modo de formação. A duração do modo de formação é estabelecida por peritos da Kaspersky. Normalmente, o modo de formação fica ativo durante duas semanas.
Se uma regra não for acionada de todo durante a formação, o Controlo de Anomalias Adaptativo irá considerar as ações associadas a esta regra como não típicas. O Kaspersky Endpoint Security irá bloquear todas as ações associadas a essa regra.
Se uma regra for acionada durante a formação, o Kaspersky Endpoint Security regista os eventos no relatório de acionamento da regra e no repositório Triggering of rules in Smart Training state.
- A analisar o relatório de acionamento de regras.
O administrador analisa o relatório de acionamento de regras ou o conteúdo do repositório do Triggering of rules in Smart Training state. O administrador pode então selecionar o comportamento do Controlo de Anomalias Adaptativo quando a regra é acionada: bloquear ou permitir. O administrador pode também continuar a monitorizar o funcionamento da regra e prolongar a duração do modo de formação. Se o administrador não realizar nenhuma ação, a aplicação continuará também a funcionar no modo de formação. O prazo do modo de formação é reiniciado.
O Controlo de Anomalias Adaptativo é configurado em tempo real. O Controlo de Anomalias Adaptativo é configurado através dos seguintes canais:
- O Controlo de Anomalias Adaptativo começa automaticamente a bloquear as ações associadas às regras que nunca foram acionadas no modo de formação.
- O Kaspersky Endpoint Security adiciona novas regras ou remove as obsoletas.
- O administrador configura a operação do Controlo de Anomalias Adaptativo depois de rever o relatório do acionamento de regras e o conteúdo do repositório de Triggering of rules in Smart Training state. Recomenda-se a verificação do relatório de acionamento de regras e o conteúdo do repositório de Triggering of rules in Smart Training state.
Quando uma aplicação maliciosa tentar realizar uma ação, o Kaspersky Endpoint Security irá bloquear a ação e exibir uma notificação (ver figura abaixo).
Notificação do Controlo de Anomalias Adaptativo
Algoritmo operacional do Controlo de Anomalias Adaptativo
O Kaspersky Endpoint Security decide se permite ou bloqueia uma ação associada a uma regra com base no seguinte algoritmo (ver figura abaixo).
Algoritmo operacional do Controlo de Anomalias Adaptativo
Definições do componente Controlo de Anomalias Adaptativo
Parâmetro |
Descrição |
|---|---|
Reportar o estado das regras do Controlo de Anomalias Adaptativo (disponível apenas na Consola do Kaspersky Security Center) |
Este relatório contém informações sobre o estado das regras de deteção do Controlo de Anomalias Adaptativo (por exemplo, Desativado ou Bloquear). O relatório é gerado para todos os grupos de administração. |
Reportar as regras acionadas do Controlo de Anomalias Adaptativo (disponível apenas na Consola do Kaspersky Security Center) |
Este relatório contém informações sobre ações não típicas detetadas pelo Controlo de Anomalias Adaptativo. O relatório é gerado para todos os grupos de administração. |
Regras |
Tabela de regras do Controlo de Anomalias Adaptativo. As regras são criadas pelos especialistas da Kaspersky com base em cenários típicos de atividade potencialmente maliciosa. |
Modelos |
Mensagem sobre o bloqueio. Modelo da mensagem apresentada a um utilizador quando uma regra do Controlo de Anomalias Adaptativo que bloqueia uma ação não típica é acionada. Mensagem para o administrador. Modelo da mensagem que um utilizador pode enviar para o administrador da rede empresarial local se considerar que o bloqueio foi um erro. Depois de o utilizador solicitar acesso, o Kaspersky Endpoint Security envia um evento ao Kaspersky Security Center: Mensagem de bloqueio da atividade da aplicação para o administrador. A descrição do evento contém uma mensagem para o administrador com variáveis substituídas. Pode visualizar estes eventos na consola do Kaspersky Security Center utilizando a seleção de eventos predefinida User requests. Se a sua organização não tiver o Kaspersky Security Center implementado ou não houver uma ligação ao Servidor de Administração, a aplicação irá enviar uma mensagem ao administrador para o endereço de e-mail especificado. |