Endpoint Detection and Response
Kaspersky Endpoint Security 11.7.0 verfügt jetzt über einen integrierten Agenten für die Lösung „Kaspersky Endpoint Detection and Response Optimum“ (im Folgenden auch „EDR Optimum“). Kaspersky Endpoint Security 11.8.0 verfügt jetzt über einen integrierten Agenten für die Lösung „Kaspersky Endpoint Detection and Response Expert“ (im Folgenden auch „EDR Expert“). Kaspersky Endpoint Detection and Response umfasst eine Reihe von Lösungen, mit denen die IT-Infrastruktur eines Unternehmens vor komplexen Cyberbedrohungen geschützt wird. Diese Lösungen kombinieren die automatische Erkennung von Bedrohungen mit der Fähigkeit, auf diese Bedrohungen zu reagieren. Dadurch lassen sich komplexe Angriffe wie neue Exploits, Ransomware, dateilose Angriffe und Methoden mit legitimen Systemtools abwehren. Im Vergleich zu „EDR Optimum“ bietet „EDR Expert“ eine erweiterte Funktionalität zur Überwachung von und zur Reaktion auf Bedrohungen. Einzelheiten zu diesen Lösungen finden Sie in der Hilfe zu „Kaspersky Endpoint Detection and Response Optimum“ und in der Hilfe zu „Kaspersky Endpoint Detection and Response Expert“.
„Kaspersky Endpoint Detection and Response“ prüft und analysiert, wie sich eine Bedrohung entwickelt, und versorgt die Sicherheitsabteilung oder den Administrator mit Informationen über den möglichen Angriff, um eine rechtzeitige Reaktion zu ermöglichen. Kaspersky Endpoint Detection and Response (EDR) zeigt Alarm-Details in einem separaten Fenster an. Alarm-Details ist ein Tool, mit dem alle über eine erkannte Bedrohung gesammelten Informationen angezeigt werden können. Zu den Alarm-Details gehört beispielsweise der Verlauf der auf dem Computer angezeigten Dateien. Einzelheiten zur Verwaltung der Alarm-Details finden Sie in der Hilfe zu „Kaspersky Endpoint Detection and Response Optimum“ und in der Hilfe zu „Kaspersky Endpoint Detection and Response Expert“.
Sie können die Komponente „EDR Optimum“ über „Web Console“ und „Cloud Console“ konfigurieren. Die Komponenteneinstellungen für „EDR Expert“ sind nur in „Cloud Console“ verfügbar.
Einstellungen für „Endpoint Detection and Response“
Einstellung | Beschreibung |
|---|---|
Netzwerkisolation | Automatische Isolation des Computers vom Netzwerk als Reaktion auf erkannte Bedrohungen. Wenn die Netzwerkisolation aktiviert ist, trennt die Anwendung alle aktiven Verbindungen und blockiert alle neuen TCP/IP-Verbindungen auf dem Computer. Die Anwendung lässt nur die folgenden Verbindungen zu:
|
Isolation des Computers automatisch aufheben nach n Stunden | Die Netzwerkisolation kann automatisch nach einem bestimmten Zeitraum deaktiviert werden oder manuell. Kaspersky Endpoint Security deaktiviert die Netzwerkisolation standardmäßig 5 Stunden nach Beginn der Isolierung. |
Ausnahmen für die Netzwerkisolation | Liste mit Regeln für Ausnahmen von der Netzwerkisolation. Netzwerkverbindungen, die diesen Regeln entsprechen, werden auf Computern nicht gesperrt, wenn die Netzwerkisolation aktiviert ist. Zur Konfigurierung von Ausnahmen für die Netzwerkisolation können Sie eine Liste von Standardnetzwerkprofilen verwenden. Zu den Ausnahmen gehören standardmäßig Netzwerkprofile mit Regeln, die sicherstellen, dass Geräte mit den Rollen DNS/DHCP-Server und DNS/DHCP-Client unterbrechungsfrei funktionieren. Außerdem können Sie die Einstellungen von Standardnetzwerkprofilen ändern oder Ausnahmen manuell definieren. In den Richtlinieneigenschaften angegebene Ausnahmen werden nur angewendet, wenn die Netzwerkisolation als Reaktion auf eine erkannte Bedrohung automatisch aktiviert wird. In den Computereigenschaften angegebene Ausnahmen werden nur angewendet, wenn die Netzwerkisolation manuell in den Computereigenschaften in der Kaspersky Security Center-Konsole oder in den Alarm-Details aktiviert wurde. |
Ausführungsprävention | Steuert die Ausführung von ausführbaren Dateien und Skripten sowie das Öffnen von Dateien im Office-Format. Sie können beispielsweise die Ausführung von Anwendungen verhindern, die auf dem ausgewählten Computer als unsicher gelten. Die Ausführungsverhinderung unterstützt eine Reihe von Office-Dateierweiterungen und Skriptinterpretern. Um die Komponente Ausführungsprävention zu verwenden, müssen Sie die Regeln für die Ausführungsprävention hinzufügen. Eine Regel für die Ausführungsprävention ist eine Reihe von Kriterien, nach denen die Anwendung auf die Ausführung eines Objekts reagiert, beispielsweise wenn die Objektausführung blockiert wird. Die Anwendung identifiziert Dateien anhand von Pfaden oder Prüfsummen, die auf MD5- und SHA256-Hash-Algorithmen beruhen. |
Aktion beim Ausführen oder Öffnen eines verbotenen Objekts | Blockieren und protokollieren. In diesem Modus sperrt die Anwendung die Ausführung von Objekten oder das Öffnen von Dokumenten, die den Kriterien der Präventionsregel entsprechen. Außerdem veröffentlicht die Anwendung im Windows-Ereignisprotokoll und im Kaspersky Security Center-Ereignisprotokoll ein Ereignis über Versuche, Objekte auszuführen oder Dokumente zu öffnen. Nur Ereignisse protokollieren. In diesem Modus veröffentlicht Kaspersky Endpoint Security im Windows-Ereignisprotokoll und in Kaspersky Security Center ein Ereignis über Versuche, ausführbare Objekte auszuführen oder Dokumente zu öffnen, die den Kriterien der Präventionsregel entsprechen. Der Versuch, das Objekt auszuführen oder das Dokument zu öffnen, wird jedoch nicht blockiert. Standardmäßig ist dieser Modus ausgewählt. |
Cloud Sandbox | Mit der Technologie Cloud Sandbox können Sie komplexe Bedrohungen auf einem Computer erkennen. Kaspersky Endpoint Security leitet verdächtige Dateien automatisch zur Analyse an „Cloud Sandbox“ weiter. „Cloud Sandbox“ führt diese Dateien in einer isolierten Umgebung aus, um bösartige Aktivität zu erkennen, und entscheidet dann über ihre Reputation. Daten über diese Dateien werden an Kaspersky Security Network gesendet. Wenn „Cloud Sandbox“ eine schädliche Datei gefunden hat, führt Kaspersky Endpoint Security die passende Aktion aus, um diese Bedrohung auf allen Computern, auf denen die Bedrohung vorliegt, zu beseitigen. Die Technologie „Cloud Sandbox“ ist ständig aktiviert und steht allen Benutzern von Kaspersky Security Network zur Verfügung, unabhängig vom Typ der genutzten Lizenz. Wenn dieses Kontrollkästchen aktiviert ist, aktiviert Kaspersky Endpoint Security den Indikator für Bedrohungen, die mithilfe von „Cloud Sandbox“ erkannt wurden. Der Indikator befindet sich im Programmhauptfenster unter Technologien zur Erkennung. Kaspersky Endpoint Security verweist auch in Programmereignissen und im Bericht über Bedrohungen in der Kaspersky Security Center-Konsole auf die „Cloud Sandbox“-Bedrohungserkennungstechnologie. |