[Topic 220194]

Справка Kaspersky Endpoint Detection and Response Optimum 2.3

Ключевые функции:

• Сетевая изоляция устройства
• Запрет запуска объектов
• Поиск IOC
• Просмотр списка обнаружений в Kaspersky Security Center Web Console или Kaspersky Security Center Cloud Console
• Виджет EDR-обнаружений в Kaspersky Security Center Web Console или Kaspersky Security Center Cloud Console

Что нового

Аппаратные и программные требования

Лицензирование

Развертывание и первоначальная настройка решения

Обновление предыдущей версии

Обращение в Службу технической поддержки

[Topic 220197]

О Kaspersky Endpoint Detection and Response Optimum

Kaspersky Endpoint Detection and Response Optimum (далее также EDR Optimum) – решение, предназначенное для защиты IT-инфраструктуры организации от сложных кибернетических угроз. Решение сочетает автоматическое обнаружение угроз с возможностью для вас реагировать на эти угрозы для противостояния сложным атакам, в том числе новым эксплойтам (англ. exploits), программам-вымогателям (англ. ransomware), бесфайловым атакам (англ. fileless attacks), а также методам, использующим законные системные инструменты.

Kaspersky Endpoint Detection and Response Optimum выполняет обзор и анализ развития угрозы и предоставляет Специалисту по безопасности или администратору информацию о потенциальной атаке, необходимую для принятия своевременных действий по реагированию, или применяет заданные вами действия по реагированию автоматически.

Функциональность обновлений (включая обновления антивирусных сигнатур и обновления кодовой базы), а также функциональность KSN будут недоступны в приложении на территории США с 12:00 AM по восточному летнему времени (EDT) 10 сентября 2024 года в соответствии с ограничительными мерами.

[Topic 216854]

Что нового

В версии Kaspersky Endpoint Detection and Response Optimum 2.3 добавлены следующие новые функции и улучшения:

С выходом версии Kaspersky Endpoint Security для Windows 11.11.0 улучшен интерфейс деталей обнаружения: выровнены элементы цепочки развития угрозы, связи между процессами в цепочке больше не пересекаются. Это упрощает анализ развития угрозы.

В начало

[Topic 216855]

Программные требования

Kaspersky Endpoint Detection and Response Optimum 2.3 работает со следующими версиями приложений "Лаборатории Касперского":

• EPP-программа Kaspersky Endpoint Security для Windows со встроенной поддержкой Kaspersky Endpoint Detection and Response Optimum: версии 11.7.0-12.5.
• EPP-программа, требующая установки отдельного агента для поддержки Kaspersky Endpoint Detection and Response Optimum: Kaspersky Security для виртуальных сред 5.2 Легкий агент.
• Kaspersky Endpoint Agent – версии 3.11, 3.12, 3.13, 3.14, 3.15 и 3.16.

  Kaspersky Endpoint Agent устанавливается на отдельные устройства, входящие в IT-инфраструктуру и работающие под управлением операционной системы Windows. Приложение обеспечивает поддержку Kaspersky Endpoint Detection and Response Optimum для EPP-программ, не имеющих встроенной поддержки решения.

• Приложения для централизованного управления безопасностью сети:
  • Kaspersky Security Center Windows версии 13.2 или более поздней;
  • Kaspersky Security Center Linux 15 (ограниченная поддержка);

    Раздел Обнаружения и виджет EDR-обнаружений недоступны в Kaspersky Security Center Linux. Вы можете просматривать детали обнаружений в отчетах об угрозах.

  • Kaspersky Security Center Cloud Console.

Информацию об аппаратных и программных требованиях поддерживаемых приложений см. в справках соответствующих приложений "Лаборатории Касперского":

• Kaspersky Endpoint Security для Windows;
• Kaspersky Security Center Windows:
  • Kaspersky Security Center Web Console;
  • Сервер администрирования Kaspersky Security Center.
• Kaspersky Security Center Linux;
• Kaspersky Security Center Cloud Console;
• Kaspersky Endpoint Agent;
• Kaspersky Security для виртуальных сред Легкий агент.

Если вы ранее использовали решение совместно с Kaspersky Security для Windows Server, рекомендуем вам выполнить миграцию с Kaspersky Security для Windows Server на версию Kaspersky Endpoint Security для Windows 12.0 или более позднюю, которая содержит встроенный агент. Подробнее о миграции см. в справке приложения Kaspersky Endpoint Security для Windows.

[Topic 216920]

Архитектура решения

В состав решения Kaspersky Endpoint Detection and Response Optimum 2.3 входят следующие компоненты:

• EPP-программы

  Программа, входящая в состав системы защиты конечных устройств (англ.

  Endpoint Protection Platform, EPP

  Интегрированная система комплексной защиты конечных устройств (например, мобильных устройств, компьютеров или ноутбуков) с помощью различных технологий безопасности. Примером Endpoint Protection Platform является Kaspersky Endpoint Security для бизнеса.

  Интегрированная система комплексной защиты конечных устройств (например, мобильных устройств, компьютеров или ноутбуков) с помощью различных технологий безопасности. Примером Endpoint Protection Platform является Kaspersky Endpoint Security для бизнеса.

  ). EPP-программы устанавливаются на конечные устройства внутри IT-инфраструктуры организации (например, мобильные устройства, компьютеры или ноутбуки). Примером EPP-программы является Kaspersky Endpoint Security для Windows в составе EPP-решения Kaspersky Endpoint Security для бизнеса.

  с поддержкой функциональности Kaspersky Endpoint Detection and Response Optimum, которые устанавливаются на отдельные устройства, входящие в IT-инфраструктуру. Эти программы осуществляют постоянное наблюдение за процессами, запущенными на защищаемых устройствах, открытыми сетевыми соединениями и изменяемыми файлами.
• Решение для централизованного управления сетевой безопасностью (Kaspersky Security Center или Kaspersky Security Center Cloud Console).
• Kaspersky Sandbox (опциональный компонент, приобретается отдельно), предназначенный для дополнительной проверки подозрительных объектов, обнаруженных EPP-программой. Подробную информацию о Kaspersky Sandbox см. в справке Kaspersky Sandbox.
• Средства анализа угроз (Threat Intelligence):
  • Облачная инфраструктура Kaspersky Security Network (далее также KSN), предоставляющая доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции приложений "Лаборатории Касперского" на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний.
  • Интеграция с решением Kaspersky Private Security Network (далее также KPSN), предоставляющим возможность получать доступ к репутационным базам KSN, а также другим статистическим данным, не отправляя в KSN данные со своих устройств.
  • Интеграция с платформой Kaspersky Threat Intelligence Portal, которая содержит и отображает информацию о репутации файлов и веб-адресов.
  • База угроз Kaspersky Threats.

[Topic 221149]

Известные ограничения

Kaspersky Endpoint Detection and Response Optimum версии 2.3 имеет следующие ограничения:

• Для работы с деталями обнаружения требуется веб-плагин Kaspersky Endpoint Security для Windows версии 11.7.0 или выше. Детали обнаружения доступны только в Kaspersky Security Center Web Console и Kaspersky Security Center Cloud Console.
• Детали обнаружения и подробные результаты выполнения задачи поиска IOC удаляются по истечении одного месяца после создания.

Поддержка мультитенантности в Kaspersky Endpoint Detection and Response Optimum имеет ряд ограничений:

• В Kaspersky Security Center Cloud Console распределение прав возможно только для учетных записей, зарегистрированных через Active Directory.
• При использовании Kaspersky Security Center Cloud Console и Kaspersky Security Center Web Console версии 14 и более ранних:
  • Права администратора для организации-тенанта необходимо назначить до создания виртуального Сервера администрирования. После создания виртуального Сервера добавить или удалить учетную запись администратора невозможно.
  • Администраторам виртуальных Серверов администрирования доступны права чтения на основном Сервере.

Подробную информацию об известных ограничениях при использовании Kaspersky Endpoint Security для Windows см. в справке соответствующей версии приложения:

• Kaspersky Endpoint Security для Windows 12.5
• Kaspersky Endpoint Security для Windows 12.4
• Kaspersky Endpoint Security для Windows 12.3
• Kaspersky Endpoint Security для Windows 12.2
• Kaspersky Endpoint Security для Windows 12.1
• Kaspersky Endpoint Security для Windows 12.0
• Kaspersky Endpoint Security для Windows 11.11.0
• Kaspersky Endpoint Security для Windows 11.10.0

Подробную информацию об известных ограничениях при использовании Kaspersky Endpoint Agent см. в справке соответствующей версии приложения:

• Kaspersky Endpoint Agent 3.16
• Kaspersky Endpoint Agent 3.15
• Kaspersky Endpoint Agent 3.14
• Kaspersky Endpoint Agent 3.13
• Kaspersky Endpoint Agent 3.12
• Kaspersky Endpoint Agent 3.11

[Topic 220468]

Лицензирование

Этот раздел содержит информацию об основных понятиях, связанных с лицензированием решения.

Подробнее о лицензировании приложений, входящих в состав решения Kaspersky Endpoint Detection and Response Optimum 2.3 см. в справках приложений:

• Kaspersky Endpoint Security для Windows;
• Kaspersky Security Center Windows
• Kaspersky Security Center Cloud Console.
• Kaspersky Security для виртуальных сред 5.2 Легкий агент
• Kaspersky Endpoint Agent;

[Topic 73374]

О Лицензионном соглашении

Лицензионное соглашение – это юридическое соглашение между вами и АО "Лаборатория Касперского", в котором указано, на каких условиях вы можете использовать приложение.

Внимательно ознакомьтесь с условиями Лицензионного соглашения перед началом работы с приложением.

Вы можете ознакомиться с условиями Лицензионного соглашения следующими способами:

• Во время установки программ, совместимых с Kaspersky Endpoint Detection and Response Optimum.
• При создании нового рабочего пространства в Kaspersky Security Center Cloud Console.
• Прочитав документ license.txt. Этот документ входит в состав дистрибутивов программ, совместимых с Kaspersky Endpoint Detection and Response Optimum.

Вы принимаете условия Лицензионного соглашения, подтверждая свое согласие с текстом Лицензионного соглашения во время установки приложения. Если вы не согласны с условиями Лицензионного соглашения, вы должны прервать установку приложения и не должны использовать приложение.

[Topic 69240]

О лицензии

Лицензия – это ограниченное по времени право на использование Kaspersky Endpoint Detection and Response Optimum, предоставляемое вам на условиях заключенного Лицензионного договора (Лицензионного соглашения).

Список доступных функций и срок использования приложения зависят от лицензии, по которой используется приложение.

Предусмотрены следующие типы лицензий:

• Пробная

  Бесплатная лицензия, предназначенная для ознакомления с приложением. Пробная лицензия имеет небольшой срок действия.

  По истечении срока действия пробной лицензии EDR Optimum прекращает выполнять все свои функции. Чтобы продолжить использование приложения, вам нужно приобрести коммерческую лицензию.

  Вы можете использовать приложение по пробной лицензии только в течение одного срока пробного использования.

• Коммерческая

  Платная лицензия.

  По истечении срока действия коммерческой лицензии приложение прекращает выполнять свои основные функции. Для продолжения работы Kaspersky Endpoint Detection and Response Optimum вам нужно продлить срок действия коммерческой лицензии. После истечения срока действия лицензии вы не можете далее использовать приложение и должны удалить его с устройства.

  Рекомендуется продлевать срок действия лицензии не позднее даты его окончания, чтобы обеспечить непрерывность защиты устройства от угроз компьютерной безопасности.

В начало

[Topic 73976]

О Лицензионном сертификате

Лицензионный сертификат – это документ, который передается вам вместе с файлом ключа или кодом активации.

В Лицензионном сертификате содержится следующая информация о предоставляемой лицензии:

• лицензионный ключ или номер заказа;
• информация о пользователе, которому предоставляется лицензия;
• информация о приложении, которое можно активировать по предоставляемой лицензии;
• ограничение на количество единиц лицензирования (например, устройств, на которых можно использовать приложение по предоставляемой лицензии);
• дата начала срока действия лицензии;
• дата окончания срока действия лицензии или срок действия лицензии;
• тип лицензии.

[Topic 69295]

О лицензионном ключе

Лицензионный ключ – последовательность бит, с помощью которой вы можете активировать и затем использовать приложение в соответствии с условиями Лицензионного соглашения. Лицензионный ключ создается специалистами "Лаборатории Касперского".

Вы можете добавить лицензионный ключ в программу одним из следующих способов: применить файл ключа или ввести код активации. Лицензионный ключ отображается в интерфейсе приложения в виде уникальной буквенно-цифровой последовательности, после того как вы добавили его в приложение.

Лицензионный ключ может быть заблокирован "Лабораторией Касперского", если условия Лицензионного соглашения нарушены. Если лицензионный ключ заблокирован, для работы приложения требуется добавить другой лицензионный ключ.

Лицензионный ключ может быть активным и дополнительным (или резервным).

Активный лицензионный ключ – лицензионный ключ, используемый в текущий момент для работы приложения. В качестве активного может быть добавлен лицензионный ключ для пробной или коммерческой лицензии. В приложении не может быть больше одного активного лицензионного ключа.

Дополнительный (или резервный) лицензионный ключ – лицензионный ключ, подтверждающий право на использование приложения, но не используемый в текущий момент. Дополнительный лицензионный ключ автоматически становится активным, когда заканчивается срок действия лицензии, связанной с текущим активным лицензионным ключом. Дополнительный лицензионный ключ может быть добавлен только при наличии активного лицензионного ключа.

Лицензионный ключ для пробной лицензии может быть добавлен только в качестве активного лицензионного ключа. Лицензионный ключ для пробной лицензии не может быть добавлен в качестве дополнительного лицензионного ключа.

[Topic 69430]

О коде активации

Код активации – это уникальная последовательность из 20 латинских букв и цифр. Вы вводите код активации, чтобы добавить лицензионный ключ, активирующий Kaspersky Endpoint Detection and Response Optimum. Вы получаете код активации по указанному вами адресу электронной почты после приобретения Kaspersky Endpoint Detection and Response Optimum или после заказа пробной версии Kaspersky Endpoint Detection and Response Optimum.

Чтобы активировать приложение с помощью кода активации, требуется доступ в интернет для подключения к серверам активации "Лаборатории Касперского".

Если код активации был потерян после активации приложения, обратитесь к партнеру "Лаборатории Касперского", у которого вы приобрели лицензию.

[Topic 69431]

О файле ключа

Файл ключа – это файл с расширением key, который вам предоставляет "Лаборатория Касперского". Файл ключа предназначен для добавления лицензионного ключа, активирующего приложение.

Вы получаете файл ключа по указанному вами адресу электронной почты после приобретения Kaspersky Endpoint Detection and Response Optimum или после заказа пробной версии Kaspersky Endpoint Detection and Response Optimum.

Чтобы активировать приложение с помощью файла ключа, не требуется подключение к серверам активации "Лаборатории Касперского".

Если файл ключа был случайно удален, вы можете его восстановить. Файл ключа может потребоваться вам, например, для регистрации в Kaspersky CompanyAccount.

Для восстановления файла ключа вам нужно выполнить одно из следующих действий:

• Обратиться к продавцу лицензии.
• Получить файл ключа на веб-сайте "Лаборатории Касперского" на основе имеющегося кода активации.

В начало

[Topic 220379]

О Kaspersky Security Network

Kaspersky Security Network (далее также KSN) – это инфраструктура облачных служб, предоставляющая доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, интернет-ресурсов и программного обеспечения.

Более подробную информацию об отправке в "Лабораторию Касперского", хранении и уничтожении статистической информации, полученной во время использования KSN, вы можете прочитать на веб-сайте "Лаборатории Касперского".

Инфраструктура KSN

В Kaspersky Security Network есть следующие инфраструктурные решения:

• Глобальный KSN – это решение, которое используют большинство приложений "Лаборатории Касперского". Участники KSN получают информацию от Kaspersky Security Network, а также отправляют в "Лабораторию Касперского" данные об объектах, обнаруженных на компьютере пользователя, для дополнительной проверки аналитиками "Лаборатории Касперского" и пополнения репутационных и статистических баз Kaspersky Security Network.
• Локальный KSN – это решение, позволяющее пользователям устройств, на которые установлено приложение Kaspersky Endpoint Detection and Response Optimum или другие приложения "Лаборатории Касперского", получать доступ к репутационным базам Kaspersky Security Network, а также другим статистическим данным, не отправляя данные в KSN со своих устройств. Локальный KSN разработан для корпоративных клиентов, не имеющих возможности участвовать в Kaspersky Security Network, например, по следующим причинам:
  • отсутствие подключения локальных рабочих мест к интернету;
  • законодательный запрет или ограничение корпоративной безопасности на отправку любых данных за пределы страны или за пределы локальной сети организации.

[Topic 220527]

О предоставлении данных

Для корректной работы компонентов Kaspersky Endpoint Detection and Response Optimum требуется обработка данных на стороне "Лаборатории Касперского".

Полученная информация защищается "Лабораторией Касперского" в соответствии с установленными законом требованиями и действующими правилами "Лаборатории Касперского". Данные передаются по зашифрованным каналам связи.

Подробную информацию о данных, предоставляемых при использовании решения Kaspersky Endpoint Detection and Response Optimum 2.3, см. в справке приложений "Лаборатории Касперского", установленных в вашей IT-инфраструктуре:

• Kaspersky Endpoint Security 11.7.0 для Windows
• Kaspersky Endpoint Security 11.8.0 для Windows
• Kaspersky Endpoint Security 11.9.0 для Windows
• Kaspersky Endpoint Security 11.10.0 для Windows
• Kaspersky Endpoint Security 11.11.0 для Windows
• Kaspersky Endpoint Security 12.0 для Windows
• Kaspersky Endpoint Security 12.1 для Windows
• Kaspersky Endpoint Security 12.2 для Windows
• Kaspersky Endpoint Security 12.3 для Windows
• Kaspersky Endpoint Security 12.4 для Windows
• Kaspersky Endpoint Security 12.5 для Windows
• Kaspersky Endpoint Agent 3.11
• Kaspersky Endpoint Agent 3.12
• Kaspersky Endpoint Agent 3.13
• Kaspersky Endpoint Agent 3.14
• Kaspersky Endpoint Agent 3.15
• Kaspersky Endpoint Agent 3.16
• Kaspersky Security Center 13.2 Windows
• Kaspersky Security Center 14 Windows
• Kaspersky Security Center 15 Linux
• Kaspersky Security Center Cloud Console.
• Kaspersky Security для виртуальных сред 5.2 Легкий агент

[Topic 216930]

Активация Kaspersky Endpoint Detection and Response Optimum

Активация решения Kaspersky Endpoint Detection and Response Optimum 2.3 заключается в активации EPP-программ, установленных на защищаемых устройствах, с помощью лицензии, которая включает функциональность Kaspersky Endpoint Detection and Response Optimum 2.3.

Вы можете приобрести лицензию на использование функциональности Kaspersky Endpoint Detection and Response Optimum 2.3 следующими способами:

• в составе лицензии на использование EPP-программы;
• отдельно, но в дополнение к ранее приобретенной лицензии на использование EPP-программы.

Если вы приобрели лицензию Kaspersky Endpoint Detection and Response Optimum 2.3 в составе лицензии на использование EPP-программ, то использование EDR Optimum 2.3 станет доступно после того, как вы выполните первоначальную настройку решения.

В этом случае EPP-программы, интегрированные с Kaspersky Endpoint Agent, рекомендуется активировать с помощью файла ключа. При использовании одного кода активации для нескольких EPP-программ, установленных на одном и том же устройстве (например, Kaspersky Endpoint Agent и Kaspersky для Windows Server), информация о количестве используемых лицензий в Kaspersky Security Center Web Console или Kaspersky Security Center Cloud Console может отображаться некорректно.
Если вы ранее использовали решение с Kaspersky Security для Windows Server, мы рекомендуем вам перейти с Kaspersky Security для Windows Server на Kaspersky Endpoint Security для Windows версии 12.0 или более поздней, которая содержит встроенный агент. Подробнее о миграции см. в справке Kaspersky Endpoint Security для Windows.

Если вы приобрели лицензию на использование Kaspersky Endpoint Detection and Response Optimum 2.3 отдельно, в дополнение к ранее приобретенной лицензии уже после установки и активации приложений "Лаборатории Касперского" на устройствах, вам необходимо активировать приложения на устройствах повторно с помощью нового кода активации или файла ключа, в зависимости от способа, которым вы приобрели лицензию на использование Kaspersky Endpoint Detection and Response Optimum 2.3. После этого необходимо выполнить первоначальную настройку решения.

Подробнее об активации решения см. в документации EPP-программ "Лаборатории Касперского":

• Kaspersky Endpoint Security для Windows;
• Kaspersky Endpoint Agent;
• Kaspersky Security для виртуальных сред Легкий агент.

В начало

[Topic 216927]

Поддерживаемые конфигурации и сценарии развертывания

Возможны следующие сценарии развертывания:

• Первичная установка и развертывание приложений для защиты IT-инфраструктуры и решения Kaspersky Endpoint Detection and Response Optimum 2.3, либо установка Kaspersky Endpoint Detection and Response Optimum 2.3 в инфраструктуре, в которой ранее уже были установлены поддерживаемые версии приложений для защиты IT-инфраструктуры.
• Развертывание в инфраструктуре, где уже используется версия Kaspersky Endpoint Detection and Response Optimum 1.1 или более ранняя, с приложениями для защиты IT-инфраструктуры разных версий и предназначенными для разных типов устройств с разными операционными системами.

[Topic 220524]

Развертывание и первоначальная настройка Kaspersky Endpoint Detection and Response Optimum 2.3

Этот раздел содержит информацию о развертывании и первоначальной настройке Kaspersky Endpoint Detection and Response Optimum 2.3.

[Topic 229033]

Сценарий развертывания Kaspersky Endpoint Detection and Response Optimum 2.3 на базе EPP-программ со встроенным агентом

Развертывание решения Kaspersky Endpoint Detection and Response Optimum 2.3 включает в себя следующие этапы:

1. Установка решения для централизованного управления безопасностью сети

   Установите Kaspersky Security Center или используйте Kaspersky Security Center Cloud Console для управления Kaspersky Endpoint Detection and Response Optimum в вашей инфраструктуре.

2. Установка EPP-программ

   Установите EPP-приложения с поддержкой функциональности Kaspersky Endpoint Detection and Response Optimum 2.3 на устройства, которые требуется защищать.

   Kaspersky Endpoint Detection and Response Optimum 2.3 поддерживается начиная с версии Kaspersky Endpoint Security для Windows 11.7 и Kaspersky Security Center 13.2. Подробную информацию о поддерживаемых версиях программ см. в разделе Программные требования.

   Информацию об установке см. в справке Kaspersky Endpoint Security для Windows.

3. Установка веб-плагина

   Установите веб-плагин EPP-программы для Kaspersky Security Center Web Console.

   Веб-плагины EPP-программы встроены в Kaspersky Security Center Cloud Console по умолчанию.

   Информацию об установке веб-плагинов см. в справке Kaspersky Endpoint Security для Windows.

4. Активация Kaspersky Endpoint Detection and Response Optimum

   Если ваша лицензия на использование EPP-программ на устройствах включает функциональность Kaspersky Endpoint Detection and Response Optimum 2.3, дополнительных действий не требуется.

   Если вы приобрели лицензию на использование Kaspersky Endpoint Detection and Response Optimum 2.3 после установки приложений "Лаборатории Касперского" на устройства, активируйте решение.

5. Создание политики в Kaspersky Security Center

   Создайте политики, которые будут распространяться на группы устройств, защищаемых EPP-программами.

   Подробнее о создании политики см. в справке Kaspersky Endpoint Security для Windows.

6. Включение Kaspersky Endpoint Detection and Response Optimum на устройствах

   Выполните интеграцию с EPP-программами и включите решение Kaspersky Endpoint Detection and Response Optimum в параметрах EPP-программы на устройствах. Дополнительные сведения см. в справке Kaspersky Endpoint Security для Windows.

7. Настройка отчета об угрозах

   Настройте отчет об угрозах для просмотра деталей обнаружения.

8. Добавление виджета

   Добавьте виджет EDR-обнаружений на информационную панель для мониторинга обнаружений.

9. Отображение списка обнаружений

   Включите отображение раздела Обнаружения в Kaspersky Security Center Web Console или Kaspersky Security Center Cloud Console.

[Topic 230188]

Сценарий развертывания Kaspersky Endpoint Detection and Response Optimum 2.3 под управлением Kaspersky Security Center

Этапы сценария

Сценарий состоит из следующих этапов:

1. Установка Kaspersky Security Center

   Подробную информацию об установке Kaspersky Security Center см. в справке Kaspersky Security Center.

2. Настройка состава компонентов EPP-программы:

   Установите Kaspersky Security для виртуальных сред 5.2 Легкий агент и Kaspersky Endpoint Agent.

   Подробную информацию об установке Kaspersky Security для виртуальных сред 5.2 Легкий агент и изменении состава компонентов Kaspersky Security для виртуальных сред 5.2 Легкий агент см. в Справке Kaspersky Security для виртуальных сред 5.2 Легкий агент.

   Вы можете установить приложение Kaspersky Endpoint Agent на виртуальную машину с установленным компонентом Легкий агент для Windows. Подробную информацию см. в справке Kaspersky Security для виртуальных сред 5.2 Легкий агент.

   Приложение Kaspersky Endpoint Agent версии 3.11 невозможно установить в составе EPP-программы. Для работы Kaspersky Endpoint Agent версии 3.11 в составе решения Kaspersky Endpoint Detection and Response Optimum необходимо установить Kaspersky Endpoint Agent версии 3.10 в составе EPP-программы и затем обновить Kaspersky Endpoint Agent до версии 3.11 отдельно.

3. Установка веб-плагина управления Kaspersky Endpoint Agent

   Подробную информацию об установке веб-плагинов управления см. в Справке Kaspersky Security Center.

4. Первоначальная настройка веб-плагина Kaspersky Endpoint Agent

   Активируйте Kaspersky Endpoint Agent и создайте политику Kaspersky Endpoint Agent.

5. Настройка отчета об угрозах

   Настройте отчет об угрозах для просмотра карточек инцидентов.

6. Добавление виджета

   Добавьте виджет EDR-обнаружений на информационную панель для мониторинга обнаружений.

7. Отображение списка обнаружений

   Включите отображение раздела Обнаружения в Kaspersky Security Center Web Console.

Результаты

Решение Kaspersky Endpoint Detection and Response Optimum 2.3 готово к использованию, EPP-программа и Kaspersky Endpoint Agent установлены и настроены.

[Topic 216931]

Обновление предыдущей версии Kaspersky Endpoint Detection and Response Optimum

Обновление Kaspersky Endpoint Detection and Response Optimum необходимо, если вы хотите обновить Kaspersky Endpoint Security для Windows до версии 11.7 или более поздней версии. Обновление Kaspersky Security для виртуальных сред Легкий агент не требуется.
Если вы ранее использовали решение совместно с Kaspersky Security для Windows Server, рекомендуем вам выполнить миграцию с Kaspersky Security для Windows Server на версию Kaspersky Endpoint Security для Windows 12.0 или более позднюю, которая содержит встроенный агент. Подробнее о миграции см. в справке приложения Kaspersky Endpoint Security для Windows.

В инфраструктуре, где Kaspersky Endpoint Detection and Response Optimum 1.1 (или более ранней версии) уже используется совместно с разными приложениями для защиты IT-инфраструктуры, обновление происходит по-разному в зависимости от того, какое решение вы используете для централизованного управления безопасностью сети: локальное (Kaspersky Security Center) или облачное (Kaspersky Security Center Cloud Console). Подробнее см.в справке Kaspersky Security Center.

[Topic 222745]

Сценарий: локальное обновление через Kaspersky Security Center Web Console

Локальное обновление решения Kaspersky Endpoint Detection and Response Optimum 2.3 включает в себя следующие этапы:

1. Обновление решения для централизованного управления безопасностью сети

   Обновите Kaspersky Security Center до версии 14, включая компоненты приложения Агент администрирования на компьютерах пользователей и Kaspersky Security Center Web Console.

2. Установка новой версии веб-плагина

   Установите веб-плагин приложения Kaspersky Endpoint Security для Windows версии 12.5.

   Kaspersky Endpoint Detection and Response Optimum поддерживается приложением Kaspersky Endpoint Security для Windows начиная с версии 11.7. Подробную информацию о поддерживаемых версиях программ см. в разделе Программные требования.

   Информацию об установке веб-плагина см. в справке Kaspersky Endpoint Security для Windows.

3. Выполнение шагов мастера миграции политик и задач

   Если вы обновляете Kaspersky Endpoint Detection and Response Optimum с версии 2.0, 2.1 или 2.2, пропустите этот шаг.

   Запустите мастер миграции политик и задач и выполните все шаги мастера.

4. Обновление EPP-программ

   Обновите EPP-программы до версии с поддержкой функциональности Kaspersky Endpoint Detection and Response Optimum 2.3 на устройствах, которые требуется защищать. Рекомендуется установить приложение Kaspersky Endpoint Security для Windows версии 12.5.

   Kaspersky Endpoint Detection and Response Optimum поддерживается приложением Kaspersky Endpoint Security для Windows начиная с версии 11.7. Подробную информацию о поддерживаемых версиях программ см. в разделе Программные требования.

   Информацию об обновлении программы и миграции конфигурации на Kaspersky Endpoint Security см. в справке Kaspersky Endpoint Security для Windows.

Устройства под защитой Kaspersky Endpoint Detection and Response Optimum 1 и 1.1, на которых отсутствует возможность обновить EPP-программу до версии с поддержкой Kaspersky Endpoint Detection and Response Optimum 2.3, остаются под защитой предыдущей версии Kaspersky Endpoint Detection and Response Optimum.

[Topic 222746]

Сценарий: облачное обновление через Kaspersky Security Center Cloud Console

Облачное обновление решения Kaspersky Endpoint Detection and Response Optimum 2.3 включает в себя следующие этапы:

1. Обновление Агента администрирования

   Обновите Агент администрирования Kaspersky Security Center до версии с поддержкой Kaspersky Endpoint Detection and Response Optimum.

   Информацию об Агенте администрирования см. в Справке Kaspersky Security Center Cloud Console.

2. Выполнение шагов мастера миграции политик и задач

   Если вы обновляете Kaspersky Endpoint Detection and Response Optimum с версии 2.0, 2.1 или 2.2, пропустите этот шаг.

   Запустите мастер миграции политик и задач и выполните все шаги мастера.

3. Обновление EPP-программ

   Обновите EPP-программы до версии с поддержкой функциональности Kaspersky Endpoint Detection and Response Optimum 2.3 на устройствах, которые требуется защищать. Мы рекомендуем установить приложение Kaspersky Endpoint Security для Windows версии 12.5.

   Kaspersky Endpoint Detection and Response Optimum поддерживается приложением Kaspersky Endpoint Security для Windows начиная с версии 11.7. Подробную информацию о поддерживаемых версиях программ см. в разделе Программные требования.

   Информацию об обновлении программы и миграции конфигурации на Kaspersky Endpoint Security см. в справке Kaspersky Endpoint Security для Windows.

Устройства под защитой Kaspersky Endpoint Detection and Response Optimum 1 и 1.1, на которых отсутствует возможность обновить EPP-программу до версии с поддержкой Kaspersky Endpoint Detection and Response Optimum 2.3, остаются под защитой предыдущей версии Kaspersky Endpoint Detection and Response Optimum.

[Topic 222205]

Совместная работа с другими решениями "Лаборатории Касперского"

Совместная работа с предыдущими версиями EDR Optimum

Если вы обновите Kaspersky Endpoint Detection and Response Optimum 2.3 только на выборочных устройствах в вашей инфраструктуре, то остальные устройства останутся под защитой более ранних версий Kaspersky Endpoint Detection and Response Optimum. Веб-плагин Kaspersky Endpoint Agent поддерживает более ранние версии EDR Optimum.

Совместная работа с Kaspersky Sandbox

Если в вашей инфраструктуре также используется решение Kaspersky Sandbox 1.0, то работу этого решения на устройствах обеспечивает веб-плагин приложения Kaspersky Endpoint Agent.

Приложения Kaspersky Endpoint Security для Windows начиная с версии 11.7 в составе решения Kaspersky Endpoint Detection and Response Optimum 2.3 совместимы с Kaspersky Sandbox начиная с версии 2.0. При этом для синхронных обнаружений Kaspersky Sandbox вы сможете открыть детали обнаружения, предоставляемые функциональностью Kaspersky Endpoint Detection and Response Optimum.

При совместной работе разных EPP-программ в составе решения Kaspersky Endpoint Detection and Response Optimum и Kaspersky Sandbox внутри одной инфраструктуры необходимо обеспечить отдельный сервер Kaspersky Sandbox для версии 1.0 для тех устройств, которые находятся под защитой Kaspersky Security для виртуальных сред 5.2 Легкий агент или Kaspersky Endpoint Security для Windows версий 11.2-11.6, и отдельный сервер Kaspersky Sandbox 2.0 для тех устройств, которые работают под защитой Kaspersky Endpoint Security для Windows начиная с версии 11.7.

Совместная работа с Kaspersky MDR

Лицензия на использование решения Kaspersky Managed Detection and Response позволяет также использовать и решение EDR Optimum. При этом для реагирования на инциденты Kaspersky MDR будет доступна часть действий по реагированию, обеспечиваемых решением EDR Optimum. Если оба решения одновременно пытаются применить одно и то же действие по реагированию, то оно применяется только в рамках работы одного из решений.

Действия по реагированию, которые были предложены аналитиками SOC и приняты экспертами безопасности в рамках работы Kaspersky MDR, не отображаются в параметрах, политиках и задачах EDR Optimum.

[Topic 216935]

Действия по реагированию

Этот раздел содержит информацию о действиях по реагированию на обнаруженные угрозы, доступных в рамках Kaspersky Endpoint Detection and Response Optimum 2.3.

[Topic 220372]

О сетевой изоляции

Kaspersky Endpoint Detection and Response Optimum предоставляет возможность изолировать устройства от сети по требованию (вручную) или в качестве автоматического действия по реагированию на обнаруженные угрозы.

После включения сетевой изоляции приложение разрывает все активные соединения TCP/IP и блокирует все новые сетевые соединения TCP/IP на изолированных устройствах, кроме следующих соединений:

• соединений, указанных в исключениях из сетевой изоляции;
• соединений, инициированных службами совместимой EPP-программы;
• соединений, инициированных Агентом администрирования Kaspersky Security Center.

Вы можете применить сетевую изоляцию устройства вручную в настройках EPP-программы на устройстве или в деталях обнаружения. Сетевая изоляция устройства также может применяться автоматически в результате ответных действий на обнаружения при выполнении задачи поиска IOC. Вы можете разблокировать изолированное устройство вручную из деталей обнаружения, в параметрах EPP-программы на устройстве или из командной строки. Вы также можете настроить период, по истечении которого сетевая изоляция будет автоматически отключена.

Вы можете настроить исключения из сетевой изоляции. Сетевые соединения, подпадающие под заданные исключения, не будут заблокированы на устройствах после включения сетевой изоляции.

Подробнее об управлении сетевой изоляцией вручную через параметры EPP-программы на устройстве, настройке параметров автоматического применения сетевой изоляции через политику Kaspersky Security Center, настройке исключений и возможностях управления сетевой изоляцией через командную строку см. в справке Kaspersky Endpoint Security для Windows и в справке Kaspersky Endpoint Agent.

[Topic 220374]

Помещение файла на карантин

Одно из возможных действий по реагированию при обнаружении угрозы – помещение файла на карантин.

Карантин – это специальное локальное хранилище на устройстве с EPP-программой, поддерживающей функциональность Kaspersky Endpoint Detection and Response Optimum, в которое помещаются файлы, возможно зараженные вирусами или неизлечимые на момент обнаружения. На защищаемом устройстве файлы на карантине хранятся в зашифрованном виде и не угрожают безопасности устройства.

Вы можете поместить файл на карантин вручную или задать помещение на карантин автоматически в качестве ответных действий на обнаружения.

Подробнее о карантине см. в справке Kaspersky Endpoint Security для Windows и в справке Kaspersky Endpoint Agent. Вы также можете поместить файл на карантин из окна деталей обнаружения.

Если на компьютерах организации установлено приложение Kaspersky Endpoint Security для Windows версии 11.10.0 и выше, это действие по реагированию недоступно для критически важных системных объектов (англ. System Critical Object, далее также SCO). К объектам SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security для Windows.

[Topic 233852]

О Cloud Sandbox

Cloud Sandbox – облачная технология, позволяющая обнаруживать сложные угрозы на компьютерах пользователей. Kaspersky Endpoint Security автоматически отправляет требующие проверки файлы в Cloud Sandbox для анализа. Cloud Sandbox запускает эти файлы в изолированной среде для выявления вредоносной активности и принимает решение о репутации этих файлов. Далее данные об этих файлах отправляются в KSN.

В Kaspersky Endpoint Security для Windows вы можете включить отдельный счетчик для угроз, обнаруженных с помощью Cloud Sandbox. Вы можете использовать этот счетчик для составления статистики при анализе обнаруженных угроз.

Для использования этой технологии Cloud Sandbox требуется выполнение следующих условий:

• на компьютере установлена версия Kaspersky Endpoint Security для Windows 11.10.0 и выше;
• в Kaspersky Security Center установлен плагин Kaspersky Endpoint Security версии 11.10.0 и выше;
• в Kaspersky Endpoint Security включена поддержка KSN;
• для просмотра отчетов об обнаружениях в результате срабатывания технологии Cloud Sandbox требуется Kaspersky Security Center 14 или более поздней версии либо Kaspersky Security Center Cloud Console (в Отчете об угрозах содержится столбец Cloud Sandbox c возможностью фильтрации угроз, обнаруженных с помощью этой технологии).

Дополнительные сведения о включении Cloud Sandbox, запуске проверки файлов с помощью этой технологии вручную и ограничениях на использование технологии Cloud Sandbox см. в справке Kaspersky Endpoint Security для Windows в разделе Cloud Sandbox.

[Topic 226865]

Настройка параметров хранения файлов на карантине

Чтобы просмотреть список файлов в карантине,

в главном окне Kaspersky Security Center Web Console или Kaspersky Security Center Cloud Console перейдите в раздел Хранилища → Карантин.

Подробнее о работе с карантином см. в Справке Kaspersky Security Center и в Справке Kaspersky Endpoint Agent.

Проверка объектов, помещенных на карантин в рамках работы Kaspersky Endpoint Detection and Response Optimum, недоступна.

Восстановление файлов из карантина также доступно из командной строки. Дополнительные сведения см. в справке Kaspersky Endpoint Security для Windows.

Объекты помещаются на карантин с использованием прав системной учетной записи (SYSTEM). При восстановлении из карантина файл помещается не в исходное расположение, а в специальную папку на устройстве, из которой вы сможете вручную переместить его в папку назначения.

Чтобы настроить параметры хранения файлов в карантине, выполните следующие действия:

1. В главном окне Kaspersky Security Center Web Console или Kaspersky Security Center Cloud Console перейдите в раздел Устройства → Политики и профили политик.
2. Нажмите на название политики, которую вы хотите настроить.

   Откроется окно свойств политики.

3. Выберите закладку Параметры программы.
4. В разделе Репозитории выберите подраздел Карантин и задайте нужные параметры.

   Информацию о доступных для настройки параметрах карантина см. в Справке Kaspersky Endpoint Security для Windows и Справке Kaspersky Endpoint Agent.

[Topic 220376]

Об удалении файла

Одно из возможных действий по реагированию при обнаружении угрозы – удаление файла с устройства.

Подробнее о создании задачи удаления файла см. в справке Kaspersky Endpoint Security для Windows и в справке Kaspersky Endpoint Agent.

Если на компьютерах организации установлено приложение Kaspersky Endpoint Security для Windows версии 11.10.0 и выше, это действие по реагированию недоступно для критически важных системных объектов (англ. System Critical Object, далее также SCO). К объектам SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security для Windows.

[Topic 220380]

Запуск проверки важных областей

Одним из возможных действий по реагированию при обнаружении угрозы является запуск проверки важных областей на устройстве.

Вы можете запустить проверку важных областей вручную или задать автоматический запуск проверки в качестве ответных действий на обнаружения.

Подробнее о проверке важных областей см. в справке Kaspersky Endpoint Security для Windows и в справке Kaspersky Endpoint Agent.

В начало

[Topic 220373]

О задаче Поиска IOC

Индикатор компрометации (англ. Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к устройству (компрометация данных). Например, индикатором компрометации может быть неоднократные неудачные попытки входа в систему. Задача Поиска IOC позволяет обнаруживать индикаторы компрометации на устройстве и выполнять действия по реагированию на угрозы.

В Kaspersky Endpoint Detection and Response Optimum предусмотрены следующие режимы запуска задач поиска IOC:

• Стандартная задача Поиска IOC

  Групповая или локальная задача, которая создается и настраивается вручную в Kaspersky Security Center Web Console. Для запуска задач используются IOC-файлы, которые вы подготовили.

• Автономная задача Поиска IOC

  Групповая задача, которая создается автоматически при реагировании на угрозу, обнаруженную Kaspersky Sandbox. EPP-программа автоматически формирует IOC-файл. Работа с пользовательскими IOC-файлами не предусмотрена. Задачи автоматически удаляются через семь дней после последнего запуска или с момента создания, если задачи не запускались. Подробнее об автономных задачах поиска IOC см. в справке Kaspersky Sandbox.

При обнаружении IOC на устройстве Kaspersky Endpoint Detection and Response Optimum выполняет заданное действие по реагированию. Доступны следующие действия по реагированию на обнаруженные IOC:

• Изолировать устройство от сети.
• Запускать проверку важных областей.
• Копию поместить на карантин, объект удалить.

  При реагировании на угрозы Kaspersky Endpoint Detection and Response Optimum и Kaspersky Sandbox могут автоматически создавать задачи Поиска IOC. Вы также можете создать задачу вручную из окна деталей обнаружения, в Kaspersky Endpoint Security для Windows или в Kaspersky Endpoint Agent.

  Подробнее о запуске задач Поиска IOC см. в справке Kaspersky Endpoint Security для Windows и в справке Kaspersky Endpoint Agent.

[Topic 220377]

О запрете запуска объектов

Вы можете настраивать правила запрета запуска исполняемых файлов и скриптов, а также открытия файлов офисного формата на выбранных устройствах. Например, вы можете запретить запуск приложений, которые вы считаете небезопасными, на выбранном устройстве, защищаемом Kaspersky Endpoint Detection and Response Optimum. Приложение идентифицирует файлы по их пути или контрольной сумме с помощью алгоритмов хеширования MD5 и SHA256.

Правило запрета запуска – это набор критериев, которые учитываются при выполнении блокировки объекта. Объект должен соответствовать всем критериям правила запрета запуска, чтобы приложение заблокировало его исполнение.

Kaspersky Endpoint Detection and Response Optimum предусматривает следующие режимы применения правил запрета запуска:

• Блокирование и запись в отчет.

  В этом режиме EPP-программа блокирует исполнение объектов или открытие документов, соответствующих критериям правил запрета запуска.

• Только запись события в отчет.

  В этом режиме EPP-программа публикует в Журнал событий Windows и Kaspersky Security Center событие о попытках исполнения объектов или открытия документов, соответствующих критериям правил запрета, но не блокирует их исполнение или открытие.

Информацию о включении, о доступных для настройки параметрах запрета запуска и об управлении правилами запрета запуска из командной строки см. в справке Kaspersky Endpoint Security для Windows и в справке Kaspersky Endpoint Agent.

Вы также можете запретить запуск файла из окна деталей обнаружения.

Если на компьютерах организации установлено приложение Kaspersky Endpoint Security для Windows версии 11.10.0 и выше, это действие по реагированию недоступно для критически важных системных объектов (англ. System Critical Object, далее также SCO). К объектам SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security для Windows. Дополнительные сведения см. в справке Kaspersky Endpoint Security для Windows.

[Topic 220382]

Запуск процесса

Задача запуска процесса позволяет удаленно запускать файлы на устройстве. Например, вы можете удаленно запустить утилиту, которая создает файл с конфигурацией компьютера. Затем вы можете получить созданный файл с помощью задачи Получить файл.

Подробнее о создании задачи запуска процесса см. в справке Kaspersky Endpoint Security для Windows и в справке Kaspersky Endpoint Agent.

В начало

[Topic 220381]

О завершении процесса

Задача завершения процесса позволяет удаленно завершать процессы на устройстве. Например, вы можете удаленно завершить работу утилиты проверки скорости интернета, которая была запущена с помощью задачи запуска процесса.

Подробнее о создании задачи завершения процесса см. в справке Kaspersky Endpoint Security для Windows и в справке Kaspersky Endpoint Agent.

Если на компьютерах организации установлено приложение Kaspersky Endpoint Security для Windows версии 11.10.0 и выше, это действие по реагированию недоступно для критически важных системных объектов (англ. System Critical Object, далее также SCO). К объектам SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security для Windows.

[Topic 220846]

О получении файла

Задача получения файла позволяет получать файлы с устройств пользователей. Например, вы можете настроить получение файла журнала событий, который создает стороннее приложение. Задача помещает файл на карантин. Вы можете загрузить этот файл на устройство из карантина в Kaspersky Security Center Web Console. При этом на устройстве пользователя файл остается в исходной папке.

Подробнее о том, как создать задачу получения файла см. в Справке Kaspersky Endpoint Security для Windows.

Для пользователей Kaspersky Endpoint Agent при выполнении задачи получения файла в блоке параметров Действия после помещения файла на карантин необходимо выбрать вариант не удалять файл при отправке его в карантин.

В начало

[Topic 220370]

Работа с деталями обнаружения

Этот раздел содержит информацию о действиях, которые можно выполнять непосредственно из окна деталей обнаружения.

[Topic 220583]

О деталях обнаружения

Детали обнаружения содержат всю доступную информацию об обнаруженной угрозе и позволяют управлять действиями по реагированию на обнаружение.

В деталях обнаружения приведена следующая информация:

• Граф цепочки развития угрозы, который предоставляет визуальную информацию о задействованных объектах, например, о ключевых процессах на устройстве, сетевых соединениях, библиотеках и кустах реестра.
• Каждая рекомендация снабжена ссылкой, по которой вы можете перейти к применению выбранного способа реагирования.

  Этот раздел доступен только в веб-плагине приложения Kaspersky Endpoint Security для Windows начиная c версии 11.9.0

• Общая информация об обнаружении, включая режим обнаружения (например, обнаружение при проверке по требованию или при автоматической проверке).
• Информация о защищаемом устройстве, на котором произошло обнаружение (например, имя устройства, IP-адрес, MAC-адрес, список пользователей, операционная система).
• Информация об обнаруженном объекте.
• Изменения в реестре, связанные с обнаружением.
• История появления файлов на устройстве.
• Принятые приложением действия по реагированию.

Если на устройствах организации установлено приложение Kaspersky Endpoint Security для Windows версии 11.10.0 и выше, в Kaspersky Security Center используется плагин Kaspersky Endpoint Security версии 11.10.0 и в Kaspersky Endpoint Security включена функция Kaspersky Security Network, то в деталях обнаружения для файлов отображается информация о группе доверия, цифровой подписи, распространении файла и другие данные.

Эти данные в деталях обнаружения указаны на момент обнаружения угрозы. Решение не обновляет эту информацию, поэтому она может отличаться от данных и показателей, отображаемых на Kaspersky Threat Intelligence Portal. Для просмотра актуальных данных воспользуйтесь ссылками на данные Kaspersky Threat Intelligence Portal в деталях обнаружения.

Из деталей обнаружения вы можете выполнить следующие действия по реагированию:

• изолировать устройство, на котором произошло обнаружение;
• поместить файл на карантин;
• создать задачу поиска IOC;
• запретить запуск обнаруженного файла.

Детали обнаружения автоматически удаляются через один месяц после того, как были сформированы.

Если на устройстве с установленным приложением Kaspersky Endpoint Security для Windows объем информации в деталях обнаружения превышает 1 МБ или если за сутки на устройстве появилось больше пяти обнаружений, то данные об обнаружении хранятся на этом устройстве локально и для доступа к ним необходимо подключение к этому устройству. Для устройства с установленным приложением Kaspersky Endpoint Agent и какой-либо EPP-программой эти пороговые значения составляют 100 КБ и 20 обнаружений соответственно.

[Topic 220393]

Настройка отчета об угрозах для отображения деталей обнаружений

Чтобы настроить возможность перейти в окно деталей обнаружения из отчета об угрозах, выполните следующие действия:

1. В главном окне Kaspersky Security Center Web Console перейдите в раздел Мониторинг и отчеты → Отчеты.
2. В списке отчетов установите флажок для отчета шаблона Отчет об угрозах и нажмите на кнопку Открыть свойства шаблона отчета.
3. В открывшемся окне изменения отчета перейдите на вкладку Графы.
4. Убедитесь, что в блоке параметров Детальные данные в списке полей отчета присутствует поле с именем Открыть обнаружение.
5. Если поле Открыть обнаружение отсутствует в списке, выполните следующие действия:
   1. Нажмите на кнопку Добавить.
   2. В правой части окна в раскрывающемся списке выберите поле с именем Открыть обнаружение.
   3. Нажмите на кнопку ОК.
6. Нажмите на кнопку Сохранить.

Возможность просмотра деталей обнаружения настроена в параметрах отчета об угрозах.

[Topic 220388]

Просмотр деталей обнаружения

Детали обнаружения доступны в окне со списком обнаружений. Список обнаружений доступен в отчете Отчет об угрозах или в подразделе Обнаружения в разделе Мониторинг и отчеты в Kaspersky Security Center Web Console или Kaspersky Security Center Cloud Console.

Если вы добавите лицензионный ключ для Kaspersky Endpoint Detection and Response Optimum, подраздел Обнаружения автоматически отобразится в главном меню в разделе Мониторинг и отчеты. Вы также можете настроить отображение подраздела Обнаружения в параметрах интерфейса в Kaspersky Security Center Web Console или Kaspersky Security Center Cloud Console.

Чтобы просмотреть детали обнаружения в разделе Мониторинг и отчеты:

1. В главном окне Kaspersky Security Center Web Console или Kaspersky Security Center Cloud Console перейдите в раздел Мониторинг и отчеты → Обнаружения.
2. Выберите обнаружение и нажмите на ссылку Подробнее.

   Отобразятся детали обнаружения.

Чтобы просмотреть детали обнаружения в отчете об угрозах:

1. В главном окне Kaspersky Security Center Web Console или Kaspersky Security Center Cloud Console перейдите в раздел Мониторинг и отчеты → Отчеты.
2. Выберите отчет шаблона Отчет об угрозах и нажмите на кнопку Показать отчет.
3. В окне отчета на вкладке Подробнее выберите обнаружение и нажмите на ссылку Открыть детали обнаружения.

   Отобразятся детали обнаружения.

Чтобы открыть детали обнаружения, Kaspersky Endpoint Detection and Response Optimum необходимо получить данные с устройства, на котором произошло обнаружение. Если данные или устройство недоступны, отобразится сообщение об ошибке. Время ожидания ответа от устройства может составить несколько минут.

При использовании Kaspersky Security Center Cloud Console для просмотра могут быть доступны только первые пять деталей обнаружения. Чтобы иметь возможность просматривать все отображаемые в отчете детали обнаружения, необходимо использовать в сети точку распространения и настроить ее в качестве извещающего сервера, а в свойствах политики Агента администрирования включить параметр Использовать точку распространения для принудительного подключения к Серверу администрирования.

[Topic 220397]

Применение и снятие сетевой изоляции устройства

Чтобы изолировать устройство от сети или снять сетевую изоляцию устройства из окна деталей обнаружения, выполните следующие действия:

1. Откройте окно деталей обнаружения.
2. В блоке Компьютер нажмите на кнопку:
   • Изолировать компьютер от сети – чтобы применить сетевую изоляцию к этому устройству.
   • Разблокировать изолированный от сети компьютер – чтобы снять сетевую изоляцию с этого устройства.

     Кнопка Разблокировать изолированный от сети компьютер доступна, если обнаружение было получено от Kaspersky Endpoint Security для Windows 11.7 и выше.

В начало

[Topic 220394]

Помещение файла на карантин из деталей обнаружения

Чтобы поместить файл на карантин из деталей обнаружения, выполните следующие действия:

1. Откройте детали обнаружения.
2. В блоке Файл нажмите на кнопку Поместить на карантин.

   Файл будет удален с устройства. Его копия будет помещена на карантин.

[Topic 220399]

Создание задачи Поиска IOC из деталей обнаружения

Чтобы создать задачу Поиска IOC из деталей обнаружения, выполните следующие действия:

1. Откройте детали обнаружения.
2. На вкладке Все события обнаружения выберите элементы списка, на основе которых вы хотите создать задачу поиска IOC.
3. Нажмите на кнопку Создать IOC.
4. Выберите условие срабатывания индикатора компрометации:
   • Если вы хотите, чтобы IOC срабатывал при обнаружении любого из выбранных объектов, в правой части экрана выберите ИЛИ.
   • Если вы хотите, чтобы IOC срабатывал только при обнаружении всех выбранных объектов, в правой части экрана выберите И.
5. Выберите действия, которые необходимо применять при срабатывании IOC:
   • Изолировать устройство от сети.
   • Запускать проверку важных областей.
   • Поместить копию на карантин, объект удалить.
6. Нажмите на кнопку Создать задачу.

Вы можете просмотреть созданные задачи в разделе Устройства → Задачи.

При создании задачи поиска IOC из деталей обнаружения для выбранного объекта (файла или процесса) будет автоматически создан

[Topic 220395]

Запрет запуска файла из деталей обнаружения

Чтобы правила запрета запуска файла могли применяться на устройстве, на котором произошло обнаружение, к этому устройству должна быть применена активная политика приложения с поддержкой функциональности Kaspersky Endpoint Detection and Response Optimum. Если устройство, на котором произошло обнаружение, не находится под управлением активной политики, то правило запрета запуска не будет создано. Например, если на устройстве установлена EPP-программа Kaspersky Endpoint Security для Windows, к этому устройству должна применяться политика Kaspersky Endpoint Security для Windows. Если на устройстве установлено приложение Kaspersky Endpoint Agent и какая-либо EPP-программа, к этому устройству должна применяться политика Kaspersky Endpoint Agent.

Чтобы запретить запуск файла из деталей обнаружения, выполните следующие действия:

1. Откройте детали обнаружения.
2. В блоке Файл нажмите на кнопку Запретить запуск.

Запуск файла будет запрещен. Правило запрета запуска будет добавлено в политику для группы, в которую входит устройство.

[Topic 220383]

Мониторинг и отчеты

Для наблюдения за работой Kaspersky Endpoint Detection and Response Optimum доступны следующие возможности:

• виджет EDR-обнаружений;
• список обнаружений;
• отчеты и выборки Kaspersky Security Center.

[Topic 220831]

Добавление виджета EDR-обнаружений

В виджете EDR-обнаружений отображается информация о количестве обнаружений на устройствах за последний месяц. Виджет доступен для отображения на вкладке Панель мониторинга в Kaspersky Security Center Web Console или в Kaspersky Security Center Cloud Console. Из виджета вы можете перейти в раздел Обнаружения со списком обнаружений на устройствах.

Чтобы добавить виджет EDR-обнаружений на информационную панель:

1. Перейдите в раздел Мониторинг и отчеты → Панель мониторинга.
2. Нажмите на кнопку Добавить или восстановить веб-виджет.
3. В списке доступных веб-виджетов выберите веб-виджет Обнаружения в категории Статистика угроз.
4. Нажмите на кнопку Добавить.

   Веб-виджет будет добавлен в конец информационной панели.

Подробнее о работе с виджетами см. в справке Kaspersky Security Center Web Console или в справке Kaspersky Security Center Cloud Console.

[Topic 216932]

Просмотр списка обнаружений

Чтобы просмотреть все обнаружения в виде списка,

в Kaspersky Security Center Web Console или Kaspersky Security Center Cloud Console перейдите в раздел Обнаружения.

Раздел Обнаружения появляется автоматически при активации Kaspersky Endpoint Detection and Response Optimum. Вы также можете включить отображение этого раздела в Kaspersky Security Center Web Console или Kaspersky Security Center Cloud Console.

Из списка обнаружений вы можете перейти в детали выбранного обнаружения.

[Topic 220833]

Проверка работоспособности Kaspersky Endpoint Detection and Response Optimum на устройствах

Kaspersky Security Center позволяет получить информацию о текущем статусе защиты на устройствах и о том, на каких устройствах в вашей инфраструктуре не установлена EPP-программа с поддержкой Kaspersky Endpoint Detection and Response Optimum.

Вы можете получить эту информацию, построив выборку устройств по статусу компонента EDR Optimum.

Чтобы построить выборку устройств по статусу компонента EDR Optimum:

1. В Kaspersky Security Center Web Console или Kaspersky Security Center Cloud Console перейдите в раздел Устройства → Выборки устройств.
2. Создайте новую выборку устройств со следующим условием:
   1. Выберите раздел Информация о программах "Лаборатории Касперского".
   2. В списке Компоненты программы выберите компонент Endpoint Detection and Response для EPP-программ, установленных на ваших устройствах.

      Если на устройстве установлено приложение Kaspersky Endpoint Agent и какая-либо EPP-программа, выберите компонент Endpoint Detection and Response Optimum для Kaspersky Endpoint Agent.

   3. В раскрывающемся списке Статус выберите необходимое значение критерия выборки. Отобразятся устройства с выбранным статусом работы Kaspersky Endpoint Detection and Response Optimum.
   4. Нажмите на кнопку Сохранить.

Новая выборка отобразит список устройств с выбранным статусом Kaspersky Endpoint Detection and Response Optimum.

[Topic 220835]

Просмотр информации о срабатывании правил запрета запуска

Kaspersky Security Center позволяет получить информацию о приложениях, запуск которых был заблокирован решением Kaspersky Endpoint Detection and Response Optimum в результате срабатывания правила запрета запуска объектов.

Чтобы просмотреть отчет о приложениях, запуск которых был запрещен:

1. В Kaspersky Security Center Web Console или Kaspersky Security Center Cloud Console перейдите в раздел Мониторинг и отчеты → Отчеты.
2. В списке отчетов выберите нужный отчет:
   • Отчет о запрещенных приложениях

     Выберите эту опцию, чтобы просмотреть информацию о приложениях, запуск которых был запрещен в режиме Блокировать и записывать в отчет.

   • Отчет о запрещенных приложениях в тестовом режиме

     Выберите эту опцию, чтобы просмотреть информацию о приложениях, запуск которых был запрещен в режиме Только записывать в отчет.

[Topic 220834]

Получение списка изолированных устройств

Kaspersky Security Center позволяет получить информацию об устройствах, к которым была применена сетевая изоляция.

Вы можете получить эту информацию, построив выборку устройств по тегу ISOLATED FROM NETWORK.

Чтобы построить выборку устройств, изолированных от сети:

1. Если вы хотите построить выборку устройств главного сервера или подчиненных серверов, выполните предварительную дополнительную настройку:
   1. В Kaspersky Security Center Web Console или Kaspersky Security Center Cloud Console перейдите в раздел Устройства → Теги → Теги устройств.
   2. Нажмите на кнопку Добавить и добавьте тег ISOLATED FROM NETWORK в список тегов устройств.
2. В Kaspersky Security Center Web Console или Kaspersky Security Center Cloud Console перейдите в раздел Устройства → Выборки устройств.
3. Создайте новую выборку устройств со следующим условием:
   1. Выберите раздел Теги.
   2. Нажмите на кнопку Добавить и создайте условие выборки всех устройств, обозначенных тегом ISOLATED FROM NETWORK.
   3. Для выборки устройств подчиненных серверов, дополнительно установите флажок Включать данные подчиненных Серверов администрирования.

Новая выборка отобразит список устройств, изолированных от сети.

[Topic 216929]

Мультитенантность

Мультитенантность – это режим, при котором решение используется для защиты инфраструктуры нескольких организаций одновременно.

Вы можете использовать Kaspersky Endpoint Detection and Response Optimum для защиты инфраструктуры нескольких организаций одновременно с помощью Kaspersky Security Center. Для этого вам требуется создать виртуальные Серверы администрирования организаций, для защиты которых вы хотите использовать Kaspersky Endpoint Detection and Response Optimum. Эти виртуальные Серверы администрирования должны быть созданы на Сервере администрирования организации-провайдера. Подробнее о создании виртуальных Серверов администрирования см. в справке Kaspersky Security Center и в справке Kaspersky Security Center Cloud Console.

Для каждой

Администратор основного Сервера администрирования может управлять решением на всех устройствах, которые управляются этим Сервером. Администратор виртуального Сервера администрирования может управлять решением только на устройствах, подключенных к серверу, который он администрирует.

Поддержка мультитенантности в Kaspersky Endpoint Detection and Response Optimum имеет ряд ограничений:

• В Kaspersky Security Center Cloud Console распределение прав возможно только для учетных записей, зарегистрированных через Active Directory.
• При использовании Kaspersky Security Center Cloud Console и Kaspersky Security Center Web Console версии 14 и более ранних:
  • Права администратора для организации-тенанта необходимо назначить до создания виртуального Сервера администрирования. После создания виртуального Сервера добавить или удалить учетную запись администратора невозможно.
  • Администраторам виртуальных Серверов администрирования доступны права чтения на основном Сервере.

В начало

[Topic 231480]

Работа с Kaspersky Endpoint Detection and Response Optimum через Kaspersky Security Center OpenAPI

При локальном развертывании Kaspersky Endpoint Detection and Response Optimum с использованием Kaspersky Security Center Web Console доступна автоматизация и пользовательская настройка ряда рабочих сценариев и задач с помощью Kaspersky Security Center OpenAPI.

Подробнее о работе с OpenAPI см. в справке Kaspersky Security Center.

В примере ниже представлен скрипт для применения изоляции компьютера от сети с помощью Kaspersky Security Center OpenAPI.

В начало

[Topic 222779]

Источники информации о приложении

Страница Kaspersky Endpoint Detection and Response Optimum на веб-сайте "Лаборатории Касперского"

На странице Kaspersky Endpoint Detection and Response Optimum вы можете получить общую информацию о приложении, его возможностях и особенностях работы.

Страница Kaspersky Endpoint Detection and Response Optimum в Базе знаний

База знаний – это раздел веб-сайта Службы технической поддержки.

На странице Kaspersky Endpoint Detection and Response Optimum в Базе знаний вы найдете статьи, которые содержат полезную информацию, рекомендации и ответы на часто задаваемые вопросы о приобретении, установке и использовании приложения.

Статьи Базы знаний могут отвечать на вопросы, которые относятся не только к Kaspersky Endpoint Detection and Response Optimum, но и к другим приложениям "Лаборатории Касперского". Статьи Базы знаний также могут содержать новости Службы технической поддержки.

[Topic 241127]

Обращение в Службу технической поддержки

Этот раздел содержит информацию о способах и условиях получения технической поддержки.

[Topic 68247]

Способы получения технической поддержки

Если вы не нашли решения вашей проблемы в документации или других источниках информации о Kaspersky Endpoint Detection and Response Optimum, рекомендуется обратиться в Службу технической поддержки "Лаборатории Касперского". Сотрудники Службы технической поддержки ответят на все ваши вопросы об установке и использовании Kaspersky Endpoint Detection and Response Optimum.

"Лаборатория Касперского" предоставляет поддержку Kaspersky Endpoint Detection and Response Optimum в течение жизненного цикла (см. страницу жизненного цикла приложений). Перед обращением в Службу технической поддержки ознакомьтесь с правилами предоставления технической поддержки.

Вы можете связаться со специалистами Службы технической поддержки одним из следующих способов:

• посетив сайт Службы технической поддержки;
• отправив запрос в Службу технической поддержки с портала Kaspersky CompanyAccount.

[Topic 68417]

Техническая поддержка через Kaspersky CompanyAccount

Kaspersky CompanyAccount – это портал для организаций, использующих приложения "Лаборатории Касперского". Портал Kaspersky CompanyAccount предназначен для взаимодействия пользователей со специалистами "Лаборатории Касперского" с помощью электронных запросов. На портале Kaspersky CompanyAccount можно отслеживать статус ваших электронных запросов, а также хранить их историю.

Вы можете зарегистрировать всех сотрудников вашей организации в рамках одной учетной записи Kaspersky CompanyAccount. Одна учетная запись позволяет вам централизованно управлять электронными запросами от зарегистрированных сотрудников в "Лабораторию Касперского", а также управлять правами этих сотрудников в Kaspersky CompanyAccount.

Портал Kaspersky CompanyAccount доступен на следующих языках:

• английском;
• испанском;
• итальянском;
• немецком;
• польском;
• португальском;
• русском;
• французском;
• японском.

Вы можете узнать больше о Kaspersky CompanyAccount на веб-сайте Службы технической поддержки.

[Topic 95897]

Глоссарий

Endpoint Protection Platform (EPP)

Интегрированная система комплексной защиты конечных устройств (например, мобильных устройств, компьютеров или ноутбуков) с помощью различных технологий безопасности. Примером Endpoint Protection Platform является Kaspersky Endpoint Security для бизнеса.

EPP-программа

Программа, входящая в состав системы защиты конечных устройств (англ. Endpoint Protection Platform, EPP). EPP-программы устанавливаются на конечные устройства внутри IT-инфраструктуры организации (например, мобильные устройства, компьютеры или ноутбуки). Примером EPP-программы является Kaspersky Endpoint Security для Windows в составе EPP-решения Kaspersky Endpoint Security для бизнеса.

IOC

Индикатор компрометации (или IOC) показывает наличие на устройстве признаков, свидетельствующих о нарушении безопасности.

IOC-файл

Файл, содержащий набор индикаторов компрометации, которые сравниваются с индикаторами события. Если сравниваемые показатели совпадают, программа считает событие обнаружением. Вероятность обнаружения может повыситься, если в результате проверки были найдены точные совпадения данных об объекте с несколькими IOC-файлами.

OpenIOC

Открытый стандарт описания индикаторов компрометации (Indicator of Compromise, IOC), созданный на базе XML и содержащий более 500 различных индикаторов компрометации.

TLS-шифрование

Шифрование соединения между двумя серверами, обеспечивающее защищенную передачу данных между серверами через интернет.

Действие по реагированию

Действие по реагированию на инцидент – это структурированная методология обработки инцидентов и нарушений системы безопасности и киберугроз.

Тенант

Тенант – это организация, которой предоставляется решение Kaspersky Endpoint Detection and Response Optimum.

Трассировка

Отладочное выполнение программы, при котором после выполнения каждой инструкции происходит остановка и отображается результат.

Целевая атака

Атака, направленная на конкретного человека или организацию. В отличие от массовых атак компьютерными вирусами, направленных на заражение максимального количества компьютеров, целевые атаки могут быть направлены на заражение сети определенной организации или даже одного сервера в IT-инфраструктуре организации. Для каждой целевой атаки может быть написана специальная троянская программа.

[Topic 37531]

Информация о стороннем коде

Информация о стороннем коде содержится в файле legal_notices.txt, расположенном в папке установки приложения.

[Topic 220196]

Уведомления о товарных знаках

Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.

Active Directory, Windows и Windows Server являются товарными знаками группы компаний Microsoft.

OpenAPI – товарный знак компании The Linux Foundation.

Linux – товарный знак Linus Torvalds, зарегистрированный в США и в других странах.