Endpoint Detection and Response Optimum

A partir da versão 12.1, o Kaspersky Endpoint Security for Mac inclui um agente integrado para a solução Kaspersky Endpoint Detection and Response Optimum (doravante também “EDR Optimum”). Essa solução foi projetada para proteger a infraestrutura de TI corporativa contra ameaças cibernéticas avançadas. A funcionalidade da solução combina a detecção automática de ameaças com a capacidade de reagir a essas ameaças para neutralizar ataques avançados, incluindo novos exploits, ransomwares, ataques sem arquivo, bem como métodos que usam ferramentas de sistema legítimas. Para obter detalhes sobre a solução, consulte a Ajuda do Kaspersky Endpoint Detection and Response Optimum.

O Kaspersky Endpoint Detection and Response revisa e analisa o desenvolvimento de ameaças e fornece à equipe de segurança ou ao Administrador informações sobre o possível ataque que são necessárias para uma resposta oportuna. O Kaspersky Endpoint Detection and Response exibe os detalhes do alerta em uma janela separada. Detalhes do alerta é uma ferramenta para exibir a totalidade das informações coletadas sobre uma ameaça detectada. Os detalhes do alerta incluem, por exemplo, o histórico de arquivos que aparecem no computador. Para obter detalhes sobre o gerenciamento de detalhes do alerta, consulte a Ajuda do Kaspersky Endpoint Detection and Response Optimum.

Nota: você pode configurar o componente EDR Optimum no Web Console.

Configurações do Endpoint Detection and Response

Parâmetro

Descrição

Isolamento de rede

Isolamento automático do computador da rede em resposta a ameaças detectadas.

Quando o isolamento de rede está ativado, o aplicativo corta todas as conexões ativas e bloqueia todas as novas conexões TCP/IP no computador. O aplicativo deixa apenas as seguintes conexões ativas:

  • Conexões listadas em Exclusões de isolamento de rede.
  • Conexões iniciadas pelos serviços do Kaspersky Endpoint Security.
  • Conexões iniciadas pelo Agente de Rede do Kaspersky Security Center.

Desbloquear automaticamente o computador isolado em N horas

O isolamento de rede pode ser desativado automaticamente após um tempo especificado ou manualmente. Por padrão, o Kaspersky Endpoint Security desativa o isolamento de rede 8 horas após o início do isolamento.

Exclusões de isolamento de rede

Lista de regras para exclusões do isolamento de rede. As conexões de rede que correspondem às regras não são bloqueadas nos computadores quando o isolamento de rede está ativado.

Para configurar as exclusões de isolamento de rede, você pode usar uma lista de perfis de rede padrão. Por padrão, as exclusões incluem perfis de rede que contêm regras que garantem a operação ininterrupta de dispositivos com as funções de servidor DNS/DHCP e cliente DNS/DHCP. Você também pode modificar os ajustes de perfis de rede padrão ou definir as exclusões manualmente.

Importante: as exclusões especificadas nas propriedades da política são aplicadas somente se o isolamento de rede for ativado automaticamente em resposta a uma ameaça detectada. As exclusões especificadas nas propriedades do computador são aplicadas somente se o Isolamento de rede estiver ativado manualmente nas propriedades do computador no console do Kaspersky Security Center ou nos detalhes do alerta.

Prevenção de execução

A prevenção de execução permite gerenciar a execução de arquivos executáveis e scripts, assim como abrir arquivos no formato do Office. Dessa forma, você pode, por exemplo, impedir a execução de aplicativos que considera inseguros. Como resultado, a disseminação da ameaça pode ser interrompida. A prevenção de execução dá suporte a um conjunto de interpretadores de script.

Para usar o componente Prevenção de execução, você precisa adicionar regras de prevenção de execução. A regra de prevenção de execução é um conjunto de critérios que o aplicativo leva em consideração ao reagir à execução de um objeto, por exemplo, ao bloquear a execução do objeto. O aplicativo identifica arquivos por seus caminhos ou somas de verificação calculadas usando algoritmos de hash MD5 e SHA256.

Ação na execução ou abertura de objeto proibido

Bloquear e gravar no relatório. Nesse modo, o aplicativo bloqueia a execução de objetos ou a abertura de documentos que atendem aos critérios da regra de prevenção. O aplicativo também publica um evento sobre tentativas de executar objetos ou abrir documentos no log de eventos do Kaspersky Security Center e no sistema de login unificado.

Criar log de eventos apenas. Nesse modo, o Kaspersky Endpoint Security publica um evento sobre tentativas de executar objetos executáveis ou documentos abertos que correspondem aos critérios da regra de prevenção no log de eventos do Kaspersky Security Center no sistema de login unificado, mas não bloqueia a tentativa de executar ou abrir o objeto ou documento. Este modo está marcado por padrão.

Cloud Sandbox

O Cloud Sandbox é uma tecnologia que permite detectar ameaças avançadas em um computador. O Kaspersky Endpoint Security encaminha automaticamente os arquivos detectados para o Cloud Sandbox para análise. O Cloud Sandbox executa esses arquivos em um ambiente isolado para identificar atividades maliciosas e decidir sobre sua reputação. Os dados nesses arquivos são então enviados para a Kaspersky Security Network. Portanto, se o Cloud Sandbox detectar um arquivo malicioso, o Kaspersky Endpoint Security executará a ação apropriada para eliminar essa ameaça em todos os computadores onde esse arquivo for detectado.

Nota: A tecnologia Cloud Sandbox é permanentemente ativada e está disponível para todos os usuários da Kaspersky Security Network, independentemente do tipo de licença que estão usando.

Nesta seção

Integração com o Endpoint Detection and Response Optimum

Verificar indicadores de comprometimento

Mover arquivo para a Quarentena

Obter arquivo

Excluir arquivo

Iniciar processo

Encerrar processo

Prevenção de execução

Isolamento da rede de computadores

Cloud Sandbox
Topo da página