Antwort-Reaktionen auf Befehle von Detection and Response

Kaspersky Endpoint Security kann Antwort-Reaktionen ausführen, die zur Bereitstellung von Sicherheitsfunktionen vorgesehen sind:

• Während der Interaktion mit Kaspersky Anti Targeted Attack Platform – Kaspersky Endpoint Detection and Response (KATA).
• Während der Interaktion mit Kaspersky Endpoint Detection and Response Optimum.

Die Einstellungen der Antwort-Reaktionen von Kaspersky Anti Targeted Attack Platform und Kaspersky Endpoint Detection and Response Optimum unterscheiden sich voneinander.

Kaspersky Endpoint Security kann die folgenden Antwort-Reaktionen ausführen:

• Dateien vom Gerät abrufen.

  Die Aktion wird mithilfe der Aufgabe Datei abrufen (Get file task) ausgeführt. Beispielsweise können Sie das Abrufen einer Ereignisprotokoll-Datei konfigurieren, die von der Anwendung eines Drittanbieters generiert wird.

• Dateien von Geräten löschen.

  Die Aktion wird mithilfe der Aufgabe Datei löschen (Delete file task) ausgeführt.

• Prozesse auf Geräten remote starten.

  Die Aktion wird mithilfe der Aufgabe Prozess starten (Run process) ausgeführt.

  Sie können beispielsweise per Fernzugriff ein Tool starten, das eine Gerätekonfigurationsdatei erstellt, und diese Datei anschließend mittels der Aufgabe Datei abrufen abrufen.

• Prozesse auf Geräten remote beenden.

  Die Aktion wird mithilfe der Aufgabe Prozess beenden (Terminate process) ausgeführt.

  Sie können beispielsweise remote ein Tool zur Messung der Internet-Geschwindigkeitstest beenden, welches vorher mit der Aufgabe "Prozess starten" gestartet wurde.

• Anzeichen einer Kompromittierung von Geräten erkennen und mit einer Reaktion auf die Bedrohung reagieren.

  Ein Kompromittierungsindikator (Indicator of Compromise, IOC) bezeichnet eine Menge von Informationen über ein Objekt oder eine Aktivität, die auf einen unbefugten Zugriff auf ein Gerät hinweist (Kompromittierung der Daten). So kann beispielsweise eine hohe Anzahl an fehlgeschlagenen Anmeldeversuchen ein Indikator für eine Kompromittierung kann sein.

  Die Aktion wird mithilfe der Aufgabe IoC-Untersuchung (IOC Scan) ausgeführt.

  Beim Ausführen der Aufgabe IOC-Untersuchung erfolgt die Prüfung anhand von IOC-Bewertungen (Eigenschaften eines IOC-Objekts, z. B. der Hash einer Datei) nur im Hauptnamensraum des Betriebssystems. Die Aufgabe IOC-Untersuchung berechnet keine Hashes für Dateien, die größer als 200 MB sind.

• Die Netzwerkisolation des Geräts aktivieren oder deaktivieren.

  Bei einer Interaktion zwischen Kaspersky Endpoint Security und Kaspersky Endpoint Detection and Response Optimum können Sie Folgendes tun:

  • Die Netzwerkisolation in der Web Console oder in der Kaspersky Security Center Cloud Console aktivieren oder deaktivieren.
  • Die Netzwerkisolation über die Befehlszeile deaktivieren .
  • Die automatische Deaktivierung der Netzwerkisolation in der Web Console oder in der Kaspersky Security Center Cloud Console konfigurieren.

  Bei einer Interaktion zwischen Kaspersky Endpoint Security und Kaspersky Endpoint Detection and Response (KATA) können Sie Folgendes tun:

  • Die Netzwerkisolation über die Befehlszeile deaktivieren .
  • Die Netzwerkisolation über Kaspersky Endpoint Detection and Response (KATA) aktivieren oder deaktivieren.

    Weitere Informationen zu der Lösung finden Sie in der Hilfe zu Kaspersky Anti Targeted Attack Platform.

Einschränkungen der Netzwerkisolation

Bei Verwendung der Netzwerkisolation wird dringend empfohlen, dass Sie sich mit den unten beschriebenen Einschränkungen vertraut machen.

Damit die Netzwerkisolation funktioniert, muss Kaspersky Endpoint Security ausgeführt werden. Bei einem Ausfall von Kaspersky Endpoint Security (d. h., wenn die App wird nicht ausgeführt) ist die Blockierung des Datenverkehrs bei aktivierter Netzwerkisolation durch Kaspersky Anti Targeted Attack Platform oder Kaspersky Endpoint Detection and Response Optimum nicht garantiert.

Während einer aktivierten Netzwerkisolation wird durchgeleiteter Datenverkehr (Transit) eingeschränkt unterstützt und kann gefiltert werden.

DHCP und DNS werden nicht automatisch zu den Ausnahmen der Netzwerkisolation hinzugefügt. Wenn also die Netzwerkadresse einer Ressource während der Netzwerkisolation geändert wurde, kann Kaspersky Endpoint Security nicht darauf zugreifen. Gleiches gilt für die Knoten eines fehlertoleranten KATA-Servers. Es wird nicht empfohlen, ihre Adressen zu ändern, damit Kaspersky Endpoint Security die Verbindung zu ihnen nicht verliert.

Proxy-Server werden nicht automatisch zu den Ausnahmen für die Netzwerkisolation hinzugefügt. Damit Kaspersky Endpoint Security die Verbindung zum KATA-Server nicht verliert, müssen Sie daher einen Proxy-Server manuell zu den Ausnahmen hinzufügen.

Das Hinzufügen zu und Ausschließen aus der Netzwerkisolation eines Prozesses anhand seines Namens wird nicht unterstützt.

Wenn Kaspersky Endpoint Security im Standard-Modus ausgeführt wird, werden bei Verwendung der Netzwerkisolation folgende Maßnahmen empfohlen:

• Verwendung des KSN-Proxy-Servers, um mit Kaspersky Security Network zu interagieren.
• Verwendung von Kaspersky Security Center als Proxy-Server, um die App zu aktivieren.

  Wenn es nicht möglich ist, Kaspersky Security Center als Proxy-Server zu verwenden, konfigurieren Sie die Einstellungen des erforderlichen Proxy-Servers und fügen Sie ihn zu den Ausnahmen hinzu.

• Verwendung von Kaspersky Security Center als Quelle für die Datenbankaktualisierungen.

Diese Empfehlungen gelten nicht, wenn Kaspersky Endpoint Security im Light Agent-Modus verwendet wird.

Nach oben