Endpoint Detection and Response Optimum

Начиная с версии Kaspersky Endpoint Security для Mac 12.1 в приложение добавлен встроенный агент для работы решения Kaspersky Endpoint Detection and Response Optimum (далее также "EDR Optimum"). Это решение предназначено для защиты корпоративной ИТ-инфраструктуры от сложных киберугроз. Функционал решения сочетают автоматическое обнаружение угроз с возможностью реагирования на эти угрозы для противодействия сложным атакам, в том числе новым эксплойтам (exploits), программам-вымогателям (ransomware), бесфайловым атакам (fileless attacks), а также методам, использующим законные системные инструменты. Подробнее о решении см. в справке Kaspersky Endpoint Detection and Response Optimum.

Kaspersky Endpoint Detection and Response выполняет обзор и анализ развития угрозы и предоставляет Сотруднику службы безопасности или Администратору информацию о потенциальной атаке, необходимую для принятия своевременных действий по реагированию. Kaspersky Endpoint Detection and Response показывает детали алерта в отдельном окне. Детали алерта – инструмент для просмотра всей собранной информации об обнаруженной угрозе. Детали алерта содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями алерта см. в справке Kaspersky Endpoint Detection and Response Optimum.

Примечание. Вы можете настроить компонент EDR Optimum в Web Console.

Параметры Endpoint Detection and Response

Параметр

Описание

Сетевая изоляция

Автоматическая изоляция компьютера от сети в результате реагирования на обнаруженные угрозы.

После включения Сетевой изоляции приложение разрывает все активные соединения и блокирует все новые соединения TCP/IP на компьютере. Приложение оставляет активными только следующие соединения:

  • соединения, указанные в исключениях из Сетевой изоляции;
  • соединения, инициированные службами Kaspersky Endpoint Security;
  • соединения, инициированные Агентом администрирования Kaspersky Security Center.

Разблокировать автоматически изолированный компьютер через N часов

Сетевая изоляция может быть выключена автоматически по истечении заданного периода времени или вручную. По умолчанию, Kaspersky Endpoint Security выключает Сетевую изоляцию через 8 часов после начала изоляции.

Исключения из сетевой изоляции

Список правил исключений из Сетевой изоляции. Сетевые соединения, подпадающие под заданные правила, не будут заблокированы на компьютерах после включения Сетевой изоляции.

Для настройки исключений из Сетевой изоляции в приложении доступен список стандартных сетевых профилей. По умолчанию в исключения входят сетевые профили, состоящие из правил, обеспечивающих бесперебойную работу устройств с ролями DNS/DHCP-сервер и DNS/DHCP-клиент. Также вы можете изменить параметры стандартных сетевых профилей или задать исключения вручную.

Важно! Исключения, заданные в свойствах политики, применяются, только если Сетевая изоляция включена приложением автоматически, в результате реагирования на обнаружение угрозы. Исключения, заданные в свойствах компьютера, применяются, только если Сетевая изоляция включена вручную в свойствах компьютера в консоли Kaspersky Security Center или в деталях алерта.

Запрет запуска

Запрет запуска позволяет управлять запуском исполняемых файлов и скриптов, а также открытием файлов офисного формата. Таким образом, вы можете, например, предотвратить выполнение программ, которые вы считаете небезопасными. В результате распространение угрозы может быть остановлено. Запрет запуска поддерживает определенный набор интерпретаторов скриптов.

Чтобы использовать компонент Запрет запуска, вам необходимо добавить правила запрета запуска. Правило запрета запуска – это набор критериев, которые приложение учитывает при реагировании на запуск объекта, например, при блокировании запуска объекта. Приложение идентифицирует файлы по их пути или контрольной сумме с помощью алгоритмов хеширования MD5 и SHA256.

Действие при запуске или открытии объекта

Блокировать и записывать в отчет. В этом режиме приложение блокирует запуск объектов или открытие документов, соответствующих критериям правил запрета. Также приложение публикует в журнал событий Kaspersky Security Center и в единую систему логирования событие о попытках запуска объектов или открытия документов.

Только записывать в отчет. В этом режиме Kaspersky Endpoint Security публикует в журнал событий Kaspersky Security Center и в единую систему логирования событие о попытках запуска исполняемых объектов или открытия документов, соответствующих критериям правил запрета, но не блокирует их запуск или открытие. Этот режим выбран по умолчанию.

Cloud Sandbox

Cloud Sandbox – технология, которая позволяет обнаруживать сложные угрозы на компьютере. Kaspersky Endpoint Security автоматически отправляет обнаруженные файлы в Cloud Sandbox для анализа. Cloud Sandbox запускает эти файлы в изолированной среде для выявления вредоносной активности и принимает решение о репутации этих файлов. Далее данные об этих файлах попадают в Kaspersky Security Network. Таким образом, если Cloud Sandbox обнаружил вредоносный файл, Kaspersky Endpoint Security выполнит действие для устранения угрозы на всех компьютерах, на которых обнаружит этот файл.

Примечание. Технология Cloud Sandbox включена постоянно и доступна всем пользователям Kaspersky Security Network независимо от типа лицензии, которую вы используете.

В этом разделе

Интеграция с Endpoint Detection and Response Optimum

Проверка индикаторов компрометации

Помещение файла на карантин

Получение файла

Удаление файла

Запуск процесса

Завершение процесса

Запрет запуска

Сетевая изоляция компьютера

Cloud Sandbox

В начало