Controllo adattivo delle anomalie
Questo componente è disponibile solo per Kaspersky Endpoint Security for Business Advanced e Kaspersky Total Security for Business. Per ulteriori informazioni su Kaspersky Endpoint Security for Business, visitare il sito Web Kaspersky.
Il componente è disponibile se Kaspersky Endpoint Security è installato in un computer che esegue un sistema operativo Windows per workstation. Il componente non è disponibile se Kaspersky Endpoint Security è installato in un computer che esegue un sistema operativo Windows per server.
Il componente Controllo adattivo delle anomalie monitora e blocca le azioni non tipiche dei computer in una rete aziendale. Controllo adattivo delle anomalie utilizza un set di regole per tenere traccia dei comportamenti inusuali (ad esempio la regola Avvio di Microsoft PowerShell dall'applicazione Office). Le regole vengono create dagli esperti di Kaspersky in base agli scenari tipici delle attività dannose. È possibile configurare la modalità di gestione di ogni regola da parte di Controllo adattivo delle anomalie e, ad esempio, consentire l'esecuzione degli script PowerShell per l'automazione di determinate attività del flusso di lavoro. Kaspersky Endpoint Security aggiorna il set di regole insieme ai database dell'applicazione. Gli aggiornamenti dei set di regole devono essere confermati manualmente.
Impostazioni di Controllo adattivo delle anomalie
La configurazione di Controllo adattivo delle anomalie prevede i seguenti passaggi:
- Addestramento di Controllo adattivo delle anomalie.
In seguito all'attivazione di Controllo adattivo delle anomalie, le relative regole vengono eseguite in modalità addestramento. Durante l'addestramento, Controllo adattivo delle anomalie monitora l'attivazione delle regole e invia gli eventi di attivazione a Kaspersky Security Center. Ogni regola ha una durata specifica per la modalità di addestramento. La durata della modalità di addestramento è impostata dagli esperti di Kaspersky. In genere, la modalità di addestramento è attiva per due settimane.
Se una regola non è attivata durante l'addestramento, Controllo adattivo delle anomalie considererà non tipiche le azioni associate a tale regola. Kaspersky Endpoint Security bloccherà tutte le azioni associate alla regola.
Se è stata attivata una regola durante l'addestramento, Kaspersky Endpoint Security registra gli eventi nel rapporto sull'attivazione delle regole e nell'archivio Attivazione delle regole con stato Smart Training.
- Analisi del rapporto sull'attivazione delle regole.
L'amministratore analizza il rapporto sull'attivazione delle regole o i contenuti dell'archivio Attivazione delle regole con stato Smart Training. L'amministratore può quindi selezionare il comportamento di Controllo adattivo delle anomalie quando viene attivata la regola, scegliendo se bloccarla o consentirla. L'amministratore può inoltre continuare a monitorare la modalità di esecuzione della regola e prolungare la durata della modalità addestramento. Se l'amministratore non esegue alcuna azione, anche l'applicazione continuerà a funzionare in modalità addestramento. Il periodo della modalità addestramento viene riavviato.
Controllo adattivo delle anomalie viene configurato in tempo reale. Controllo adattivo delle anomalie viene configurato tramite i seguenti canali:
- Controllo adattivo delle anomalie inizia automaticamente a bloccare le azioni associate alle regole che non sono mai state attivate in modalità addestramento.
- Kaspersky Endpoint Security aggiunge nuove regole oppure rimuove quelle obsolete.
- L'amministratore configura l'esecuzione di Controllo adattivo delle anomalie dopo l'analisi del rapporto sull'attivazione delle regole e dei contenuti dell'archivio Attivazione delle regole con stato Smart Training. È consigliabile consultare il rapporto sull'attivazione delle regole e i contenuti dell'archivio Attivazione delle regole con stato Smart Training.
Quando un'applicazione dannosa tenta di eseguire un'azione, Kaspersky Endpoint Security blocca l'azione e visualizza una notifica (vedere la figura seguente).
Notifica di Controllo adattivo delle anomalie
Algoritmo operativo di Controllo adattivo delle anomalie
Kaspersky Endpoint Security decide se consentire o bloccare un'azione associata a una regola in base al seguente algoritmo (vedere la figura seguente).
Algoritmo operativo di Controllo adattivo delle anomalie