О Kaspersky Endpoint Detection and Response Optimum
Kaspersky Endpoint Detection and Response Optimum - решение, предназначенное для защиты IT-инфраструктуры организации от сложных кибернетических угроз. Функционал решения сочетает автоматическое обнаружение угроз с возможностью реагирования на эти угрозы для противостояния сложным атакам, в том числе новым эксплойтам (exploits), программам-шантажистам (ransomware), бесфайловым атакам (fileless attacks), а также методам, использующим законные системные инструменты. Решение предназначено для корпоративных пользователей.
Функциональность обновлений (включая обновления антивирусных сигнатур и обновления кодовой базы), а также функциональность KSN будут недоступны в приложении на территории США с 12:00 AM по восточному летнему времени (EDT) 10 сентября 2024 года в соответствии с ограничительными мерами.
Архитектура решения
Решение состоит из следующих компонентов:
- Kaspersky Endpoint Agent в составе Endpoint Protection Platform (например, в составе Kaspersky Endpoint Security) устанавливается на отдельные устройства, входящие в IT-инфраструктуру организации и работающие под управлением операционной системы Microsoft Windows. Программа осуществляет постоянное наблюдение за процессами, запущенными на этих устройствах, открытыми сетевыми соединениями и изменяемыми файлами.
- Kaspersky Security Center с Kaspersky Security Center Web Console (или Kaspersky Security Center Cloud Console с облачной Консолью администрирования) позволяют централизованно управлять решением и его настройками через единый веб-интерфейс.
- Kaspersky Sandbox (опциональный компонент - приобретается отдельно) предназначен для дополнительной проверки подозрительных объектов, обнаруженных EPP. Подробную информацию о Kaspersky Sandbox см. в Справке Kaspersky Sandbox.
Обнаружение угроз
Kaspersky Endpoint Detection and Response Optimum выполняет обзор и анализ развития угрозы и предоставляет Сотруднику службы безопасности или Администратору информацию о потенциальной атаке, необходимую для принятия своевременных ответных действий.
Карточка инцидента - инструмент для просмотра всей собранной информации об обнаруженной угрозе и управления ответными действиями. Карточка инцидента отображается в Kaspersky Security Center и может содержать, например, следующую информацию об обнаруженной угрозе:
- Граф цепочки развития угрозы.
- Информация об устройстве, на котором обнаружена угроза (например, имя, IP-адрес, MAC-адрес, список пользователей, операционная система).
- Общая информация об обнаружении, включая режим обнаружения (например, обнаружение при сканировании по требованию или при автоматическом сканировании).
- Изменения в реестре, связанные с обнаружением.
- История появления файлов на устройстве.
- Принятые программой ответные действия.
Граф цепочки развития угрозы - инструмент для анализа причин появления угрозы. Граф предоставляет визуальную информацию об объектах, задействованных в инциденте, например, о ключевых процессах на устройстве, сетевых соединениях, библиотеках, кустах реестра.
Решение использует следующие средства анализа угроз (Threat Intelligence):
- Инфраструктуру облачных служб Kaspersky Security Network (далее также "KSN"), предоставляющую доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции программ "Лаборатории Касперского" на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний.
- Интеграцию с программой "Лаборатории Касперского" Kaspersky Private Security Network (далее также "KPSN"), предоставляющую пользователю возможность получать доступ к репутационным базам KSN, а также другим статистическим данным, не отправляя данные в KSN со своих компьютеров.
- Интеграцию с информационной системой "Лаборатории Касперского" Kaspersky Threat Intelligence Portal, которая содержит и отображает информацию о репутации файлов и URL-адресов.
- Базу угроз "Лаборатории Касперского" Kaspersky Threats.
Реагирование на угрозы
Функционал реагирования на угрозы имеет следующие автоматические ответные действия, принимаемые программой при обнаружении угроз:
- Помещение объекта на карантин.
- Удаление файла.
- Сетевая изоляция устройства.
- Запуск проверки важных областей на устройстве.
- Запуск поиска индикаторов компрометации (IOC) на группе устройств.
Дополнительно Сотруднику службы безопасности или Администратору доступны следующие действия:
- Помещение объекта в список правил Запрета запуска.
- Запуск процесса на устройстве.
- Завершение процесса на устройстве.
Функционал Kaspersky Endpoint Agent
Kaspersky Endpoint Agent в рамках решения Kaspersky Endpoint Detection and Response Optimum выполняет следующие действия:
- Собирает информацию об обнаружениях от Endpoint Protection Platform (например, от Kaspersky Endpoint Security).
- Дополняет информацию о вердиктах данными, связанными с обнаружением.
- Отправляет данные в Kaspersky Security Center для построения цепочки развития угрозы.
- Запускает задачи поиска индикаторов компрометации (IOC) на группах защищаемых устройств.
- Запускает ответные действия на обнаруженные индикаторы компрометации, например:
- включает сетевую изоляцию устройства;
- запускает проверку важных областей на устройстве.
- Отправляет объекты на проверку в Kaspersky Sandbox (если настроена интеграция с Kaspersky Sandbox).
В начало