A partire dalla versione 12.1, Kaspersky Endpoint Security for Mac include un agente integrato per la soluzione Kaspersky Endpoint Detection and Response Optimum (di seguito anche "EDR Optimum"). Questa soluzione è progettata per proteggere l'infrastruttura IT aziendale dalle cyberminacce avanzate. La funzionalità della soluzione combina il rilevamento automatico delle minacce con la capacità di reagire a queste minacce per contrastare gli attacchi avanzati, inclusi nuovi exploit, ransomware, attacchi senza file, nonché metodi che utilizzano strumenti di sistema legittimi. Per i dettagli su questa soluzione, vedere la Guida di Kaspersky Endpoint Detection and Response Optimum.
Kaspersky Endpoint Detection and Response esamina e analizza lo sviluppo delle minacce e fornisce al personale addetto alla sicurezza o all'Amministratore le informazioni sul potenziale attacco necessarie per una risposta tempestiva. Kaspersky Endpoint Detection and Response visualizza i dettagli dell'avviso in una finestra separata. Dettagli avviso è uno strumento per visualizzare la totalità delle informazioni raccolte su una minaccia rilevata. Tra i dettagli degli avvisi sono inclusi, ad esempio, la cronologia dei file visualizzati nel computer. Per ulteriori informazioni sulla gestione dei dettagli degli avvisi, fare riferimento alla Guida di Kaspersky Endpoint Detection and Response Optimum.
Nota: è possibile configurare il componente EDR Optimum in Web Console.
Impostazioni di Endpoint Detection and Response
Parametro |
Descrizione |
|---|---|
Isolamento di rete |
Isolamento automatico del computer dalla rete in risposta alle minacce rilevate. Quando l'isolamento di rete è attivato, l'applicazione interrompe tutte le connessioni attive e blocca tutte le nuove connessioni TCP/IP nel computer. L'applicazione lascia attive solo le seguenti connessioni:
|
Sblocca automaticamente il computer isolato tra N ore |
L'isolamento di rete può essere disattivato automaticamente dopo un periodo di tempo specificato o manualmente. Per impostazione predefinita, Kaspersky Endpoint Security disattiva Isolamento di rete 8 ore dopo l'inizio dell'isolamento. |
Esclusioni dall'isolamento di rete |
Elenco di regole per le esclusioni dall'isolamento di rete. Le connessioni di rete che corrispondono alle regole non vengono bloccate nei computer quando Isolamento di rete è attivato. Per configurare Esclusioni dall'isolamento di rete, è possibile utilizzare un elenco di profili di rete standard. Per impostazione predefinita, le esclusioni includono i profili di rete contenenti regole che garantiscono il funzionamento ininterrotto dei dispositivi con il server DNS/DHCP e i ruoli client DNS/DHCP. È inoltre possibile modificare le impostazioni dei profili di rete standard o definire manualmente le esclusioni. Importante: le esclusioni specificate nelle proprietà dei criteri vengono applicate solo se l'isolamento di rete viene attivato automaticamente in risposta a una minaccia rilevata. Le esclusioni specificate nelle proprietà del computer vengono applicate solo se l'isolamento di rete è attivato manualmente nelle proprietà del computer nella console di Kaspersky Security Center o nei dettagli dell'avviso. |
Prevenzione dell'esecuzione |
La prevenzione dell'esecuzione consente di gestire l'esecuzione di file eseguibili e script, nonché di aprire file in formato Office. In questo modo è possibile, ad esempio, impedire l'esecuzione di applicazioni considerate non sicure. Di conseguenza, la diffusione della minaccia può essere fermata. La prevenzione dell'esecuzione supporta un set di interpreti di script. Per utilizzare il componente Prevenzione dell'esecuzione, è necessario aggiungere regole di prevenzione dell'esecuzione. La regola di prevenzione dell'esecuzione è un insieme di criteri che l'applicazione prende in considerazione quando reagisce all'esecuzione di un oggetto, ad esempio quando si blocca l'esecuzione di un oggetto. L'applicazione identifica i file in base ai relativi percorsi o checksum calcolati utilizzando algoritmi di hashing MD5 e SHA256. |
Azione in caso di esecuzione o apertura di un oggetto vietato |
Blocca e scrivi nel rapporto. In questa modalità, l'applicazione blocca l'esecuzione di oggetti o l'apertura di documenti che soddisfano i criteri della regola di prevenzione. L'applicazione pubblica anche un evento sui tentativi di esecuzione di oggetti o di documenti aperti nel registro eventi di Kaspersky Security Center e nel sistema di registrazione unificato. Registra solo gli eventi. In questa modalità, Kaspersky Endpoint Security pubblica un evento sui tentativi di esecuzione di oggetti eseguibili o di documenti aperti che corrispondono ai criteri della regola di prevenzione nel registro eventi di Kaspersky Security Center e nel sistema di registrazione unificato, ma non blocca il tentativo di eseguire o aprire l'oggetto o il documento. Questa modalità è selezionata per impostazione predefinita. |
Sandbox cloud |
Cloud Sandbox è una tecnologia che consente di rilevare le minacce avanzate in un computer. Kaspersky Endpoint Security inoltra automaticamente i file rilevati a sandbox cloud per l'analisi. Sandbox cloud esegue questi file in un ambiente isolato per identificare le attività dannose e decidere in merito alla reputazione. I dati su questi file vengono quindi inviati a Kaspersky Security Network. Pertanto, se Cloud Sandbox ha rilevato un file dannoso, Kaspersky Endpoint Security eseguirà l'azione appropriata per eliminare questa minaccia in tutti i computer in cui viene rilevato questo file. Nota: la tecnologia sandbox cloud è abilitata in modo permanente ed è disponibile per tutti gli utenti di Kaspersky Security Network, indipendentemente dal tipo di licenza che stanno utilizzando. |