Beginnend mit Version 12.1 enthält Kaspersky Endpoint Security for Mac einen integrierten Agenten für die Lösung „Kaspersky Endpoint Detection and Response Optimum“ (im Weiteren auch „EDR Optimum“). Diese Lösung wurde entwickelt, um die IT-Infrastruktur von Unternehmen vor komplexen Cyberbedrohungen zu schützen. Die Funktionalität der Lösung kombiniert die automatische Erkennung von Bedrohungen mit der Fähigkeit, auf diese Bedrohungen zu reagieren. Auf diese Weise werden fortschrittliche Angriffe effektiv abgewehrt. Zu diesen gehören neuartige Exploits, Ransomware, dateilose Angriffe sowie Methoden, die legitime Systemtools ausnutzen. Weitere Informationen zu dieser Lösung finden Sie in der Hilfe zu Kaspersky Endpoint Detection and Response Optimum.
„Kaspersky Endpoint Detection and Response“ prüft und analysiert, wie sich eine Bedrohung entwickelt, und versorgt die Sicherheitsabteilung oder den Administrator mit Informationen über den möglichen Angriff, um eine rechtzeitige Reaktion zu ermöglichen. Kaspersky Endpoint Detection and Response (EDR) zeigt Alarm-Details in einem separaten Fenster an. Die Alarmdetails sind ein Tool zum Anzeigen aller gesammelten Informationen über eine erkannte Bedrohung. Zu den Alarmdetails gehört beispielsweise der Verlauf der auf dem Computer veränderten Dateien. Weitere Informationen zur Verwaltung der Alarmdetails finden Sie in der Hilfe zu Kaspersky Endpoint Detection and Response Optimum.
Hinweis: Die Komponente EDR Optimum können Sie in der Web Console konfigurieren.
Einstellungen für „Endpoint Detection and Response“
Parameter |
Beschreibung |
|---|---|
Netzwerkisolation |
Automatische Isolation des Computers vom Netzwerk als Reaktion auf erkannte Bedrohungen. Wenn die Netzwerkisolation aktiviert ist, trennt die Anwendung alle aktiven Verbindungen und blockiert alle neuen TCP/IP-Verbindungen auf dem Computer. Die Anwendung behält nur die folgenden Verbindungen bei:
|
Isolation des Computers automatisch aufheben nach n Stunden |
Die Netzwerkisolation kann automatisch nach einem bestimmten Zeitraum oder manuell deaktiviert werden. Standardmäßig deaktiviert Kaspersky Endpoint Security die Netzwerkisolation 8 Stunden nach Beginn der Isolation. |
Ausnahmen für die Netzwerkisolation |
Liste mit Regeln für die Ausnahmen von der Netzwerkisolation. Netzwerkverbindungen, die den Regeln entsprechen, werden auf Computern mit aktivierter Netzwerkisolation nicht blockiert. Um die Ausnahmen für die Netzwerkisolation zu konfigurieren, können Sie eine Liste mit Standardnetzwerkprofilen verwenden. Zu den Ausnahmen gehören standardmäßig Netzwerkprofile mit Regeln, die sicherstellen, dass Geräte mit den Rollen DNS/DHCP-Server und DNS/DHCP-Client unterbrechungsfrei funktionieren. Sie können die Einstellungen der Standardnetzwerkprofile auch ändern oder manuell Ausnahmen definieren. Wichtig: Die in den Richtlinieneigenschaften angegebenen Ausnahmen werden nur angewendet, wenn die Netzwerkisolation als Reaktion auf eine erkannte Bedrohung automatisch aktiviert wird. In den Computereigenschaften angegebene Ausnahmen werden nur angewendet, wenn die Netzwerkisolation manuell in den Computereigenschaften in der Kaspersky Security Center-Konsole oder in den Alarm-Details aktiviert wurde. |
Ausführungsprävention |
Mit der Ausführungsprävention kann das Starten von ausführbaren Dateien und Skripten sowie das Öffnen von Dateien im Office-Format verwaltet werden. Auf diese Weise können Sie beispielsweise die Ausführung von Anwendungen verhindern, die Sie als unsicher einstufen. Dies kann die Ausbreitung einer Bedrohung begrenzen. Die Ausführungsprävention unterstützt eine Reihe von Skriptinterpretern. Um die Komponente „Ausführungsprävention“ verwenden zu können, müssen Sie dieser Regeln für die Ausführungsprävention hinzufügen. Die Regel für die Ausführungsprävention ist eine Zusammenstellung von Kriterien, die von der Anwendung berücksichtigt werden, wenn sie auf die Ausführung eines Objekts reagiert, beispielsweise wenn das Starten eines Objekts blockiert wird. Die Anwendung identifiziert Dateien anhand ihres Pfads oder ihrer Prüfsummen, die mithilfe der MD5- und SHA256-Hash-Algorithmen berechnet wurden. |
Aktion beim Ausführen oder Öffnen eines verbotenen Objekts |
Blockieren und protokollieren. In diesem Modus blockiert die Anwendung den Start von Objekten oder das Öffnen von Dokumenten, die den Kriterien der Präventionsregel entsprechen. Zusätzlich veröffentlicht die Anwendung im Ereignisprotokoll von Kaspersky Security Center und im vereinheitlichten Protokollsystem ein Ereignis über Versuche, Objekte zu starten oder Dokumente zu öffnen. Nur Ereignisse protokollieren. In diesem Modus veröffentlicht Kaspersky Endpoint Security im Ereignisprotokoll von Kaspersky Security Center und im vereinheitlichten Protokollsystem ein Ereignis über den Start von Objekten oder das Öffnen von Dokumenten, die den Kriterien der Präventionsregel entsprechen. Allerdings wird das Starten oder Öffnen des Objekts nicht blockiert. Diese Variante ist standardmäßig ausgewählt. |
Cloud Sandbox |
Cloud Sandbox ist eine Technologie, mit der Sie komplexe Bedrohungen auf einem Computer erkennen können. Kaspersky Endpoint Security leitet erkannte Dateien automatisch zur Analyse an „Cloud Sandbox“ weiter. „Cloud Sandbox“ führt diese Dateien in einer isolierten Umgebung aus, um bösartige Aktivität zu erkennen, und entscheidet dann über ihre Reputation. Daten über diese Dateien werden an Kaspersky Security Network gesendet. Wenn „Cloud Sandbox“ eine schädliche Datei gefunden hat, führt Kaspersky Endpoint Security die passende Aktion aus, um diese Bedrohung auf allen Computern, auf denen die Bedrohung vorliegt, zu beseitigen. Hinweis: Cloud Sandbox ist dauerhaft aktiviert und steht allen Benutzern von Kaspersky Security Network unabhängig von deren verwendeten Lizenztyp zur Verfügung. |