Kaspersky Endpoint Security kann Antwort-Reaktionen ausführen, die zur Bereitstellung von Sicherheitsfunktionen vorgesehen sind:
Die Einstellungen der Antwort-Reaktionen von Kaspersky Anti Targeted Attack Platform und Kaspersky Endpoint Detection and Response Optimum unterscheiden sich voneinander.
Kaspersky Endpoint Security kann die folgenden Antwort-Reaktionen ausführen:
Die Aktion wird mithilfe der Aufgabe Datei abrufen (Get file task) ausgeführt. Beispielsweise können Sie das Abrufen einer Ereignisprotokoll-Datei konfigurieren, die von der Anwendung eines Drittanbieters generiert wird.
Die Aktion wird mithilfe der Aufgabe Datei löschen (Delete file task) ausgeführt.
Die Aktion wird mithilfe der Aufgabe Prozess starten (Run process) ausgeführt.
Sie können beispielsweise per Fernzugriff ein Tool starten, das eine Gerätekonfigurationsdatei erstellt, und diese Datei anschließend mittels der Aufgabe Datei abrufen abrufen.
Die Aktion wird mithilfe der Aufgabe Prozess beenden (Terminate process) ausgeführt.
Sie können beispielsweise remote ein Tool zur Messung der Internet-Geschwindigkeitstest beenden, welches vorher mit der Aufgabe "Prozess starten" gestartet wurde.
Die Aktion wird mithilfe der Aufgabe IoC-Untersuchung (IOC Scan) ausgeführt.
Beim Ausführen der Aufgabe IOC-Untersuchung erfolgt die Prüfung anhand von IOC-Bewertungen (Eigenschaften eines IOC-Objekts, z. B. der Hash einer Datei) nur im Hauptnamensraum des Betriebssystems. Die Aufgabe IOC-Untersuchung berechnet keine Hashes für Dateien, die größer als 200 MB sind.
Bei einer Interaktion zwischen Kaspersky Endpoint Security und Kaspersky Endpoint Detection and Response Optimum können Sie Folgendes tun:
Bei einer Interaktion zwischen Kaspersky Endpoint Security und Kaspersky Endpoint Detection and Response (KATA) können Sie Folgendes tun:
Weitere Informationen zu der Lösung finden Sie in der Hilfe zu Kaspersky Anti Targeted Attack Platform.
Einschränkungen der Netzwerkisolation
Bei Verwendung der Netzwerkisolation wird dringend empfohlen, dass Sie sich mit den unten beschriebenen Einschränkungen vertraut machen.
Damit die Netzwerkisolation funktioniert, muss Kaspersky Endpoint Security ausgeführt werden. Bei einem Ausfall von Kaspersky Endpoint Security (d. h., wenn die App wird nicht ausgeführt) ist die Blockierung des Datenverkehrs bei aktivierter Netzwerkisolation durch Kaspersky Anti Targeted Attack Platform oder Kaspersky Endpoint Detection and Response Optimum nicht garantiert.
Während einer aktivierten Netzwerkisolation wird durchgeleiteter Datenverkehr (Transit) eingeschränkt unterstützt und kann gefiltert werden.
DHCP und DNS werden nicht automatisch zu den Ausnahmen der Netzwerkisolation hinzugefügt. Wenn also die Netzwerkadresse einer Ressource während der Netzwerkisolation geändert wurde, kann Kaspersky Endpoint Security nicht darauf zugreifen. Gleiches gilt für die Knoten eines fehlertoleranten KATA-Servers. Es wird nicht empfohlen, ihre Adressen zu ändern, damit Kaspersky Endpoint Security die Verbindung zu ihnen nicht verliert.
Proxy-Server werden nicht automatisch zu den Ausnahmen für die Netzwerkisolation hinzugefügt. Damit Kaspersky Endpoint Security die Verbindung zum KATA-Server nicht verliert, müssen Sie daher einen Proxy-Server manuell zu den Ausnahmen hinzufügen.
Das Hinzufügen zu und Ausschließen aus der Netzwerkisolation eines Prozesses anhand seines Namens wird nicht unterstützt.
Wenn Kaspersky Endpoint Security im Standard-Modus ausgeführt wird, werden bei Verwendung der Netzwerkisolation folgende Maßnahmen empfohlen:
Wenn es nicht möglich ist, Kaspersky Security Center als Proxy-Server zu verwenden, konfigurieren Sie die Einstellungen des erforderlichen Proxy-Servers und fügen Sie ihn zu den Ausnahmen hinzu.
Diese Empfehlungen gelten nicht, wenn Kaspersky Endpoint Security im Light Agent-Modus verwendet wird.
Nach oben