Controle Adaptativo de Anomalias
O componente estará disponível se o Kaspersky Endpoint Security estiver instalado em um computador que rode o Windows para computadores pessoais. O componente estará indisponível se o Kaspersky Endpoint Security estiver instalado em um computador que rode o Windows para servidores.
O componente de Controle Adaptativo de Anomalias monitora e bloqueia ações suspeitas que não são típicas dos computadores em uma rede empresarial. O Controle Adaptativo de Anomalias usa um conjunto de regras para rastrear comportamentos incomuns (por exemplo, a regra Inicialização do Microsoft PowerShell pelo aplicativo Office). As regras são criadas pelos especialistas da Kaspersky com base em cenários típicos de atividade maliciosa. Você pode configurar como o Controle Adaptativo de Anomalias manipula cada regra e, por exemplo, permitir a execução de scripts do PowerShell que automatizam determinadas tarefas de fluxo de trabalho. Kaspersky Endpoint Security atualiza o conjunto de regras junto com os bancos de dados do aplicativo. As atualizações para os conjuntos de regras devem ser confirmadas manualmente.
Configurações de Controle Adaptativo de Anomalias
A configuração do controle Adaptativo de Anomalias adaptável consiste nas seguintes etapas:
- Treinamento do Controle Adaptativo de Anomalias.
Depois de ativar o Controle Adaptativo de Anomalias, suas regras funcionam modo de treinamento. Durante o treinamento, o Controle Adaptativo de Anomalias monitora o acionamento de regras e envia os eventos do Kaspersky Security Center. Cada regra tem sua própria duração do modo de treinamento. A duração do modo de treinamento é definida pelos especialistas da Kaspersky. Normalmente, o modo de treinamento é ativado por duas semanas.
Se uma regra não foi acionada durante o treinamento, o Controle Adaptativo de Anomalias considerará as ações associadas a essa regra como incomuns. O Kaspersky Endpoint Security irá bloquear todas as ações associadas a essa regra.
Caso uma regra tenha sido acionada durante o treinamento, o Kaspersky Endpoint Security registra os eventos no relatório de acionamento da regra e no repositório do Acionamento de regras no estado de Treinamento inteligente.
- Analisando o relatório de acionamento de regras.
O administrador analisa o relatório de acionamento da regra ou os conteúdos do repositório do Acionamento de regras no estado de Treinamento inteligente. Em seguida, o administrador pode selecionar o comportamento do Controle Adaptativo de Anomalias quando a regra for acionada: bloquear ou permitir. O administrador também pode continuar a monitorar como a regra funciona e estender a duração do modo de treinamento. Se o administrador não realizar nenhuma ação, o aplicativo também continuará a funcionar no modo de treinamento. O período do modo de treinamento é reiniciado.
O Controle Adaptativo de Anomalias é configurado em tempo real. O Controle Adaptativo de Anomalias é configurado através dos seguintes canais:
- O Controle Adaptativo de Anomalias inicia automaticamente o bloqueio das ações associadas às regras que nunca foram acionadas no modo de treinamento.
- O Kaspersky Endpoint Security adiciona novas regras ou remove as obsoletas.
- O administrador configura a operação do controle adaptativo de anomalias após revisar o relatório de acionamento de regras e o conteúdo do repositório do Acionamento de regras no estado de Treinamento inteligente. Recomenda-se a verificação do relatório de acionamento da regra e os conteúdos do repositório do Acionamento de regras no estado de Treinamento inteligente.
Quando um aplicativo malicioso tenta executar uma ação, o Kaspersky Endpoint Security bloqueia a ação e exibe uma notificação (veja a figura abaixo).
Notificações do Controle Adaptativo de Anomalias
Algoritmo operacional do Controle Adaptativo de Anomalias
O Kaspersky Endpoint Security decide se permite ou bloqueia uma ação associada a uma regra com base no algoritmo a seguir (veja a figura abaixo).
Algoritmo operacional do Controle Adaptativo de Anomalias
Configurações do componente Controle Adaptativo de Anomalias
Parâmetro | Descrição |
---|---|
Relatório sobre o estado das regras de Controle Adaptativo de Anomalias (disponível apenas no console do Kaspersky Security Center) | Este relatório contém informações sobre o status das regras de detecção do Controle Adaptativo de Anomalias (por exemplo, Desativado ou Bloquear). O relatório é gerado para todos os grupos de administradores. |
Relatório sobre regras de Controle Adaptativo de Anomalias acionadas (disponível apenas no console do Kaspersky Security Center) | Este relatório contém informações sobre ações atípicas detectadas pelo Controle Adaptativo de Anomalias. O relatório é gerado para todos os grupos de administradores. |
Regras | Quadro de regras do Controle Adaptativo de Anomalias. As regras são criadas pelos especialistas da Kaspersky com base em cenários típicos de atividade potencialmente maliciosa. |
Modelos | Mensagem sobre bloqueio. Modelo da mensagem exibida a um usuário quando uma regra do Controle Adaptativo de Anomalias que bloqueia uma ação atípica é acionada. Mensagem para o administrador. Modelo da mensagem que pode ser enviada por um usuário ao administrador da rede corporativa local se o usuário considerar o bloqueio como um erro. Depois que o usuário solicitar o acesso, o Kaspersky Endpoint Security envia um evento ao Kaspersky Security Center: Mensagem de bloqueio de atividade do aplicativo para o administrador. A descrição do evento contém uma mensagem ao administrador com variáveis substituídas. É possível visualizar esses eventos no console do Kaspersky Security Center com o uso da seleção de eventos predefinida Pedidos de usuário. Caso sua organização não tenha o Kaspersky Security Center implantado ou não haja conexão com o Servidor de Administração, o aplicativo enviará uma mensagem ao administrador para o endereço de e-mail especificado. |