Kaspersky Endpoint Security 12 for Windows

Controllo adattivo delle anomalie

8 luglio 2024

ID 176744

Il componente è disponibile se Kaspersky Endpoint Security è installato in un computer che esegue un sistema operativo Windows per workstation. Il componente non è disponibile se Kaspersky Endpoint Security è installato in un computer che esegue un sistema operativo Windows per server.

Il componente Controllo adattivo delle anomalie monitora e blocca le azioni non tipiche dei computer in una rete aziendale. Controllo adattivo delle anomalie utilizza un set di regole per monitorare i comportamenti non tipici (ad esempio, la regola Avvio di Microsoft PowerShell dall'applicazione Office). Le regole vengono create dagli esperti di Kaspersky in base agli scenari tipici delle attività dannose. È possibile configurare la modalità di gestione di ogni regola da parte di Controllo adattivo delle anomalie e, ad esempio, consentire l'esecuzione degli script PowerShell per l'automazione di determinate attività del flusso di lavoro. Kaspersky Endpoint Security aggiorna il set di regole insieme ai database dell'applicazione. Gli aggiornamenti dei set di regole devono essere confermati manualmente.

Impostazioni di Controllo adattivo delle anomalie

La configurazione di Controllo adattivo delle anomalie prevede i seguenti passaggi:

  1. Addestramento di Controllo adattivo delle anomalie.

    In seguito all'attivazione di Controllo adattivo delle anomalie, le relative regole vengono eseguite in modalità addestramento. Durante l'addestramento, Controllo adattivo delle anomalie monitora l'attivazione delle regole e invia gli eventi di attivazione a Kaspersky Security Center. Ogni regola ha una durata specifica per la modalità di addestramento. La durata della modalità di addestramento è impostata dagli esperti di Kaspersky. In genere, la modalità di addestramento è attiva per due settimane.

    Se una regola non è attivata durante l'addestramento, Controllo adattivo delle anomalie considererà non tipiche le azioni associate a tale regola. Kaspersky Endpoint Security bloccherà tutte le azioni associate alla regola.

    Se è stata attivata una regola durante l'addestramento, Kaspersky Endpoint Security registra gli eventi nel rapporto sull'attivazione delle regole e nell'archivio Attivazione delle regole con stato Smart Training.

  2. Analisi del rapporto sull'attivazione delle regole.

    L'amministratore analizza il rapporto sull'attivazione delle regole o i contenuti dell'archivio Attivazione delle regole con stato Smart Training. L'amministratore può quindi selezionare il comportamento di Controllo adattivo delle anomalie quando viene attivata la regola, scegliendo se bloccarla o consentirla. L'amministratore può inoltre continuare a monitorare la modalità di esecuzione della regola e prolungare la durata della modalità addestramento. Se l'amministratore non esegue alcuna azione, anche l'applicazione continuerà a funzionare in modalità addestramento. Il periodo della modalità addestramento viene riavviato.

Controllo adattivo delle anomalie viene configurato in tempo reale. Controllo adattivo delle anomalie viene configurato tramite i seguenti canali:

  • Controllo adattivo delle anomalie inizia automaticamente a bloccare le azioni associate alle regole che non sono mai state attivate in modalità addestramento.
  • Kaspersky Endpoint Security aggiunge nuove regole oppure rimuove quelle obsolete.
  • L'amministratore configura l'esecuzione di Controllo adattivo delle anomalie dopo l'analisi del rapporto sull'attivazione delle regole e dei contenuti dell'archivio Attivazione delle regole con stato Smart Training. È consigliabile consultare il rapporto sull'attivazione delle regole e i contenuti dell'archivio Attivazione delle regole con stato Smart Training.

Quando un'applicazione dannosa tenta di eseguire un'azione, Kaspersky Endpoint Security blocca l'azione e visualizza una notifica (vedere la figura seguente).

Notifica sull'attivazione di una regola. L'utente può creare una richiesta per consentire un'azione del processo.

Notifica di Controllo adattivo delle anomalie

Algoritmo operativo di Controllo adattivo delle anomalie

Kaspersky Endpoint Security decide se consentire o bloccare un'azione associata a una regola in base al seguente algoritmo (vedere la figura seguente).

Algoritmo operativo di Controllo adattivo delle anomalie

Impostazioni del componente Controllo adattivo delle anomalie

Parametro

Descrizione

Rapporto sullo stato delle regole di Controllo adattivo delle anomalie

(disponibile solo in Kaspersky Security Center Console)

Questo rapporto contiene informazioni sullo stato delle regole di rilevamento di Controllo adattivo delle anomalie (ad esempio Disabilitato o Blocca). Il rapporto viene generato per tutti i gruppi di amministrazione.

Rapporto sulle regole attivate di Controllo adattivo delle anomalie

(disponibile solo in Kaspersky Security Center Console)

Questo rapporto contiene informazioni sulle azioni non tipiche rilevate da Controllo adattivo delle anomalie. Il rapporto viene generato per tutti i gruppi di amministrazione.

Regole

Tabella delle regole di Controllo adattivo delle anomalie. Le regole vengono create dagli esperti di Kaspersky in base agli scenari tipici delle attività potenzialmente dannose.

Modelli

Messaggio relativo al blocco. Modello del messaggio visualizzato a un utente quando viene attivata una regola di Controllo adattivo delle anomalie che blocca un'azione non tipica.

Messaggio all'amministratore. Modello del messaggio che un utente può inviare all'amministratore della rete aziendale locale se l'utente ritiene che il blocco sia un errore. Dopo che l'utente ha richiesto di fornire l'accesso, Kaspersky Endpoint Security invia un evento a Kaspersky Security Center: Messaggio all'amministratore per il blocco dell'attività di un'applicazione. La descrizione dell'evento contiene un messaggio all'amministratore con variabili sostituite. È possibile visualizzare questi eventi nella console di Kaspersky Security Center utilizzando la selezione di eventi predefinita Richieste utente. Se nell'organizzazione non è installato Kaspersky Security Center o non è presente alcuna connessione ad Administration Server, l'applicazione invierà un messaggio all'amministratore all'indirizzo e-mail specificato.

Vedere anche: Gestione dell'applicazione tramite l'interfaccia locale

Abilitazione e disabilitazione di Controllo adattivo delle anomalie

Abilitazione e disabilitazione di una regola di Controllo adattivo delle anomalie

Modifica dell'azione eseguita quando viene attivata una regola di Controllo adattivo delle anomalie

Creazione di un'esclusione per una regola di Controllo adattivo delle anomalie

Esportazione e importazione delle esclusioni per le regole di Controllo adattivo delle anomalie

Applicazione degli aggiornamenti per le regole di Controllo adattivo delle anomalie

Modifica dei modelli dei messaggi di Controllo adattivo delle anomalie

Visualizzazione dei rapporti di Controllo adattivo delle anomalie

Hai trovato utile questo articolo?
Cosa pensi che potremmo migliorare?
Grazie per il feedback! Ci stai aiutando a migliorare.
Grazie per il feedback! Ci stai aiutando a migliorare.