Detección de comportamiento

El componente Detección de comportamiento recibe datos sobre las acciones de las aplicaciones del equipo y transmite esta información a los demás componentes de protección para mejorar su rendimiento. El componente Detección de comportamiento utiliza firmas de patrones de comportamiento para aplicaciones. Si la actividad de la aplicación coincide con un patrón de actividad peligrosa, Kaspersky Endpoint Security realiza la acción de respuesta especificada. Las funcionalidades de Kaspersky Endpoint Security basadas en firmas de patrones de comportamiento proporcionan una defensa proactiva para el equipo.

Parámetros del componente Detección de comportamiento

Parámetro

Descripción

Acción al detectar actividad de malware

Eliminar. Si se elige esta opción, cuando se detecta actividad malintencionada, Kaspersky Endpoint Security elimina el archivo ejecutable de la aplicación perjudicial y crea una copia de seguridad del archivo en Copia de seguridad.

Bloquear. Si se elige esta opción, cuando se detecta actividad malintencionada, Kaspersky Endpoint Security finaliza la aplicación.

Informar. Si se elige esta opción, cuando se detecta actividad malintencionada de parte de una aplicación, Kaspersky Endpoint Security permite que la aplicación se siga ejecutando, pero agrega información sobre la actividad malintencionada de esta aplicación a la lista de amenazas activas.

Proteger carpetas compartidas

Si se activa el interruptor, Kaspersky Endpoint Security analiza la actividad de las carpetas compartidas. Cuando la actividad coincide con una firma de patrones de comportamiento que suele verse en actos de cifrado externo, Kaspersky Endpoint Security realiza la acción seleccionada.

Kaspersky Endpoint Security evita el cifrado externo de solo esos archivos que se localizan en medios que tienen el sistema de archivos NTFS y no están cifrados por el sistema EFS.

  • Informar. Si se selecciona esta opción, al detectar un intento de modificar archivos en carpetas compartidas, Kaspersky Endpoint Security agrega información sobre este intento de modificar archivos en carpetas compartidas a la lista de amenazas activas, agrega una entrada a informes de la interfaz de la aplicación local y envía información sobre la actividad maliciosa detectada a Kaspersky Security Center.
  • Bloquear conexión por N min. Si se elige esta opción, cuando Kaspersky Endpoint Security detecta un intento de modificar los archivos de una carpeta compartida, bloquea el acceso a la modificación de archivos (solo lectura) para la sesión que inició la actividad maliciosa y crea copias de seguridad de los archivos modificados.

Si el componente Motor de reparación se habilita y la opción Bloquear conexión por N minutos se selecciona, los archivos modificados se restauran desde copias de seguridad.

Alcance de la protección

El alcance de la protección es una lista de rutas a carpetas compartidas en las que Kaspersky Endpoint Security supervisa la actividad de los archivos. Kaspersky Endpoint Security admite variables de entorno y los caracteres * y ? al ingresar una máscara. De manera predeterminada, la aplicación identifica automáticamente las carpetas compartidas y supervisa la actividad de los archivos en todas las carpetas.

Exclusiones por nombre o dirección IP

Exclusiones por nombre o dirección IP. La lista de equipos desde los cuales los intentos de cifrar carpetas compartidas no se supervisarán.

Para aplicar la lista de equipos excluidos de la protección de carpetas compartidas contra el cifrado externo, deberá habilitar la opción "Auditar inicio de sesión" en la directiva de auditoría de seguridad de Windows. De manera predeterminada, la opción "Auditar inicio de sesión" no está habilitada. Para obtener más información sobre la directiva de auditoría de seguridad de Windows, visite el sitio web de Microsoft.

Exclusiones por máscara. Exclusiones del alcance de la protección. Excluir una carpeta del alcance de la protección puede reducir la cantidad de falsos positivos si su organización utiliza el cifrado de datos cuando se intercambian archivos utilizando carpetas compartidas. Por ejemplo, Detección de comportamiento puede generar falsos positivos cuando el usuario trabaja con archivos con la extensión ENC en una carpeta compartida. Dicha actividad coincide con un patrón de comportamiento típico del cifrado externo. Si tiene archivos cifrados en una carpeta compartida para proteger datos, agregue esa carpeta a las exclusiones.

Usar máscaras:

  • El carácter * (asterisco) puede usarse para representar cualquier cantidad de caracteres. Los únicos símbolos que no puede representar son las dos barras (\ y /), que se utilizan para delimitar los nombres de los archivos y de las carpetas en las rutas de acceso. Por ejemplo, la máscara C:\*\*.txt incluirá todas las rutas a archivos con la extensión TXT localizada en carpetas en el disco C:, pero no en las subcarpetas.
  • Dos caracteres * consecutivos toman el lugar de cualquier conjunto de caracteres (incluido un conjunto vacío) en el nombre del archivo o la carpeta, incluidos los caracteres \ y / (delimitadores de los nombres de archivos y carpetas en rutas a archivos y carpetas). Por ejemplo, la máscara C:\Folder\**\*.txt incluirá todas las rutas a archivos con la extensión TXT ubicados en carpetas dentro de la Folder, excepto la Folder misma. La máscara debe incluir al menos un nivel de anidación. La máscara C:\**\*.txt no es válida.
  • ? (signo de interrogación) puede usarse para representar casi cualquier carácter individual; se excluyen únicamente las barras (\ y /), que se utilizan en las rutas de acceso para delimitar los nombres de los archivos y las carpetas. Por ejemplo, la máscara C:\Folder\???.txt incluirá las rutas a todos los archivos de la carpeta llamada Folder que tengan la extensión TXT y cuyo nombre sea de tres caracteres.

Consulte también: Administración de la aplicación con la interfaz local

Habilitación y deshabilitación de la Detección de comportamiento

Protección de carpetas compartidas contra cifrado externo

Inicio de página