Control de anomalías adaptativo

Esta sección contiene información sobre el Control de anomalías adaptativo.

La función Control de anomalías adaptativo supervisa y bloquea las acciones que no son típicas de los dispositivos de la red de una empresa.

Esta función solo está disponible si activó Kaspersky Next con una licencia de Kaspersky Next EDR Optimum o XDR Expert.

Acerca de Control de anomalías adaptativo

Kaspersky Next supervisa y bloquea las acciones que no son típicas de los dispositivos Windows de la red de una empresa.

Esta función solo está disponible si activó Kaspersky Next con una licencia de Kaspersky Next EDR Optimum o XDR Expert.

El Control de anomalías adaptativo utiliza un conjunto de reglas para realizar seguimientos del comportamiento inusual (p. ej., la regla Inicio de Microsoft PowerShell desde la aplicación de oficina). Los especialistas de Kaspersky crean reglas basándose en los escenarios típicos de actividad maliciosa. Puede configurar cómo el Control de anomalías adaptativo gestiona cada regla y, por ejemplo, permitir la ejecución de scripts de PowerShell que automatizan ciertas tareas del flujo de trabajo. Kaspersky Next actualiza el conjunto de reglas junto con las bases de datos de la aplicación.

Cada regla del Control de anomalías adaptativo puede estar en uno de los siguientes modos:

• Notificar

  Las detecciones realizadas por esta regla solo se agregan al registro de eventos. No se realizan otras acciones.

• Bloquear

  La función bloquea todas las acciones asociadas con la regla.

• Inteligente

  Primero, entrene la regla al seleccionar si las detecciones realizadas por ella son en realidad un comportamiento poco característico o falsos positivos. Una vez que finalice el período de aprendizaje, la función permite o bloquea otras acciones de acuerdo con los resultados del aprendizaje.

Puede habilitar y configurar el Control de anomalías adaptativo. Una vez que la función detecta algún comportamiento inusual, puede procesar la lista de detecciones y confirmarlas o agregarlas a las exclusiones, según si una detección es realmente un comportamiento anómalo o no.

Kaspersky Next también le proporciona dos informes relacionados con la función.

Configuración de Control de anomalías adaptativo

Para configurar el Control de anomalías adaptativo, haga lo siguiente:

1. Abra la Consola de administración de Kaspersky Next.
2. Seleccione la sección Administración de la seguridad → Perfiles de seguridad.

   La sección Perfiles de seguridad contiene una lista de perfiles de seguridad configurados en Kaspersky Next.

3. En la lista, seleccione el perfil de seguridad para los dispositivos en los cuales desee configurar el Control de anomalías adaptativo.
4. Haga clic en el enlace con el nombre del perfil para abrir la ventana de propiedades del perfil de seguridad.

   En la ventana de propiedades del perfil de seguridad, se muestra la configuración disponible para todos los dispositivos.

5. En el grupo Windows, seleccione la sección Configuración de administración.
6. Ponga el conmutador en la posición El Control de anomalías adaptativo está habilitado.
7. Haga clic en el enlace Configuracióndebajo del conmutador El Control de anomalías adaptativo está habilitado.

   Se abre la página de configuración del componente Control de anomalías adaptativo.

8. Habilite o deshabilite las reglas del Control de anomalías adaptativo requeridas:
   • Para habilitar una regla, active el conmutador en la columna Estado.
   • Para deshabilitar una regla, desactive el conmutador en la columna Estado.
9. En la columna Acción, seleccione el modo de la regla:
   • Notificar

     Las detecciones realizadas por esta regla solo se agregan al registro de eventos. No se realizan otras acciones.

   • Bloquear

     La función bloquea todas las acciones asociadas con la regla.

   • Inteligente

     Primero, entrene la regla al seleccionar si las detecciones realizadas por ella son en realidad un comportamiento poco característico o falsos positivos. Una vez que finalice el período de aprendizaje, la función permite o bloquea otras acciones de acuerdo con los resultados del aprendizaje.

10. Si es necesario, cambie las exclusiones a las reglas.
11. Haga clic en el botón Guardar.

Después de aplicar el perfil de seguridad, el componente Control de anomalías adaptativo está activado y configurado en los dispositivos Windows.

Cambio de exclusiones a reglas de Control de anomalías adaptativo

Puede agregar, modificar y eliminar exclusiones a las reglas de Control de anomalías adaptativo.

Agregar exclusiones

Puede agregar exclusiones de cualquiera de las siguientes maneras:

• Al procesar las detecciones de Control de anomalías adaptativo.
• Al configurar el Control de anomalías adaptativo, como se describe más adelante en esta sección.

Para agregar una exclusión a una regla de Control de anomalías adaptativo:

1. Vaya a la página de configuración de Control de anomalías adaptativo.
2. Marque la casilla de verificación que se encuentra junto a la regla requerida.
3. Haga clic en el botón Editar.

   Se abre la ventana Exclusiones de la regla <nombre de la regla>.

4. Haga clic en el botón Agregar.

   Se abre la ventana Agregar una exclusión.

5. Defina la configuración de exclusión:
   • Proceso de origen y Objeto de origen

     El objeto que realizó las acciones detectadas (por ejemplo, un archivo que abrió el usuario).

   • Proceso de destino y Objeto de destino

     El objeto en el que se realizaron las acciones detectadas (por ejemplo, un navegador que utiliza una biblioteca que se carga en la memoria del equipo como resultado de la apertura del archivo).

6. Haga clic en Aceptar para cerrar la ventana Agregar una exclusión.

El registro agregado aparece en la lista de exclusiones en la ventana Exclusiones de la regla <nombre de la regla>.

Modificar exclusiones

Para modificar una exclusión de una regla de Control de anomalías adaptativo:

1. Vaya a la página de configuración de Control de anomalías adaptativo.
2. Marque la casilla de verificación que se encuentra junto a la regla requerida.
3. Haga clic en el botón Editar.

   Se abre la ventana Exclusiones de la regla <nombre de la regla>.

4. Marque la casilla de verificación que se encuentra junto a la exclusión requerida.
5. Haga clic en el botón Editar.

   Se abre la ventana Agregar una exclusión. Contiene los detalles sobre la exclusión seleccionada.

6. Haga los cambios necesarios.
7. Haga clic en Aceptar para cerrar la ventana Agregar una exclusión.

El registro modificado aparecerá en la lista de exclusiones en la ventana Exclusiones de la regla <nombre de la regla>.

Eliminar exclusiones

Es posible que desee eliminar una exclusión desde una regla de Control de anomalías adaptativo si, por ejemplo, la agregó por error.

Para eliminar exclusiones de una regla de Control de anomalías adaptativo, haga lo siguiente:

1. Vaya a la página de configuración de Control de anomalías adaptativo.
2. Marque la casilla de verificación que se encuentra junto a la regla requerida.
3. Haga clic en el botón Editar.

   Se abre la ventana Exclusiones de la regla <nombre de la regla>.

4. Marque las casillas de verificación que se encuentran junto a las exclusiones requeridas.
5. Haga clic en Eliminar.

Las exclusiones eliminadas desaparecen de la lista de exclusiones en la ventana Exclusiones de la regla <nombre de la regla>.

Escenario: configuración de las reglas de Control de anomalías adaptativo en el modo Inteligente

La configuración de las reglas del Control de anomalías adaptativo se realiza en etapas:

1. Aprendizaje

   Después de habilitar el Control de anomalías adaptativo, sus reglas se encuentran en estado "Aprendizaje inteligente". Durante el aprendizaje, el Control de anomalías adaptativo supervisa las detecciones realizadas por la regla y envía los eventos de detección al servidor.

   Si una regla no se activa en absoluto en un dispositivo determinado durante el aprendizaje, el Control de anomalías adaptativo considera las acciones asociadas con esta regla como no típicas. Kaspersky Next bloqueará todas las acciones asociadas con esa regla en ese dispositivo.

   Si se activa una regla durante el aprendizaje, Kaspersky Next agrega eventos al informe de detecciones y al repositorio de Detecciones de reglas del Control de anomalías adaptativo de la Cuarentena.

2. Procesamiento de la lista de detecciones

   Analice la lista de detecciones en el repositorio de Detecciones de reglas del Control de anomalías adaptativo. Realice una de las siguientes acciones para cada detección:

   • Si la detección no es anómala, agréguela a las exclusiones. Como resultado, esta detección y todas las detecciones del mismo objeto en otros dispositivos se eliminan de la lista. En el futuro, este objeto no se volverá a detectar en ninguno de los dispositivos de sus usuarios.

     Puede agregar un máximo de 1000 exclusiones para todas las reglas.

   • Si la detección es realmente anómala, confírmela. Como resultado, la detección se elimina de la lista. Más adelante, si este objeto se vuelve a detectar en el mismo dispositivo o en cualquier otro, volverá a aparecer en la lista de detecciones.

Cada regla tiene su propia duración de aprendizaje establecida por los expertos de Kaspersky. Por lo general, el aprendizaje dura dos semanas. El tiempo de aprendizaje se cuenta por separado para cada dispositivo y solo cuando Kaspersky Endpoint Security para Windows está funcionando en el dispositivo. Por ejemplo, si el aprendizaje de un dispositivo duró una semana y luego el dispositivo se apaga durante un mes, la segunda semana de aprendizaje comienza solo cuando el dispositivo se vuelve a encender.

El aprendizaje de una regla en un dispositivo finaliza cuando no hay detecciones sin procesar durante el aprendizaje. Por ese motivo, recomendamos procesar las detecciones al menos una vez a la semana.

Procesamiento de las detecciones de Control de anomalías adaptativo

Durante el aprendizaje de las reglas del Control de anomalías adaptativo en el modo Inteligente, los eventos sobre detecciones se agregan al depósito de Detecciones de reglas del Control de anomalías adaptativo de la Cuarentena. Cuando procese la lista de detecciones, puede confirmarlas o agregarlas a las exclusiones, según si una detección es realmente un comportamiento anómalo o no.

Le recomendamos que procese las detecciones al menos una vez a la semana. De lo contrario, es posible que el aprendizaje de las reglas nunca se complete y que las reglas no comiencen a bloquear la actividad maliciosa en los dispositivos.

Para procesar las detecciones del Control de anomalías adaptativo, haga lo siguiente:

1. Abra la Consola de administración de Kaspersky Next.
2. Seleccione la sección Cuarentena.

   La sección Cuarentena contiene una lista de objetos que pertenecen a las siguientes categorías: Cuarentena y copia de seguridad, Archivos no procesados y Detecciones de reglas del Control de anomalías adaptativo.

3. En la lista desplegable Categoría de archivo, seleccione Detecciones de reglas del Control de anomalías adaptativo.

   La página muestra todas las detecciones activas que no se procesaron.

   En la tabla que se muestra, puede hacer lo siguiente:

   • Propiedades del dispositivo en el que se produjo una detección.
   • Configuración del perfil de seguridad que se asigna al usuario propietario de un dispositivo afectado.
   • Información detallada sobre la detección.
4. Haga clic en el enlace de la columna Objeto detectado para ver información detallada sobre una detección.

   Se abre la ventana Detalles de detección.

5. Analice los detalles de la detección.
6. Realice alguna de las siguientes acciones:
   • Si la detección no es anómala, agréguela a las exclusiones. Como resultado, esta detección y todas las detecciones del mismo objeto en otros dispositivos se eliminan de la lista. En el futuro, este objeto no se volverá a detectar en ninguno de los dispositivos de sus usuarios.

     Puede agregar un máximo de 1000 exclusiones para todas las reglas.

   • Si la detección es realmente anómala, confírmela. Como resultado, la detección se elimina de la lista. Más adelante, si este objeto se vuelve a detectar en el mismo dispositivo o en cualquier otro, volverá a aparecer en la lista de detecciones.
7. Si es necesario, procese otra detección.

Se procesan las detecciones.