Решения Detection and Response

Kaspersky Endpoint Security обеспечивает работу решений Detection and Response с помощью встроенного в приложение агента. Для работы решений Detection and Response вам нужно включить интеграцию с этими решениями при установке приложения. Встроенный агент обеспечивает работу следующих решений:

• Kaspersky Managed Detection and Response (MDR);
• Kaspersky Endpoint Detection and Response Optimum 2.0 (EDR Optimum);
• Kaspersky Endpoint Detection and Response Expert (EDR Expert);
• Kaspersky Sandbox 2.0.

Вы можете использовать Kaspersky Endpoint Security с решениями Detection and Response в различных конфигурациях, например, [MDR+EDR Optimum 2.0+Kaspersky Sandbox 2.0].

Работу решений Detection and Response, которые встроенный агент Kaspersky Endpoint Security не поддерживает (например, Kaspersky Sandbox 1.0), обеспечивает приложение Kaspersky Endpoint Agent.

В Kaspersky Endpoint Security 11.9.0 дистрибутив приложения Kaspersky Endpoint Agent исключен из комплекта поставки Kaspersky Endpoint Security. Вам нужно загрузить дистрибутив Kaspersky Endpoint Agent отдельно.

Kaspersky Endpoint Agent

Kaspersky Endpoint Agent обеспечивает взаимодействие приложения с другими решениями "Лаборатории Касперского" для обнаружения сложных угроз (например, Kaspersky Sandbox). Решения "Лаборатории Касперского", которые поддерживает Kaspersky Endpoint Agent, зависят от версии Kaspersky Endpoint Agent.

Для работы Kaspersky Endpoint Agent в составе решений "Лаборатории Касперского" необходимо активировать эти решения соответствующим лицензионным ключом.

Полную информацию о Kaspersky Endpoint Agent для Windows в составе программного решения, которое вы используете, а также полную информацию о самом решении смотрите в справке соответствующего решения:

• в Справке Kaspersky Anti Targeted Attack Platform;
• в Справке Kaspersky Sandbox;
• в Справке Kaspersky Endpoint Detection and Response Optimum;
• в Справке Kaspersky Managed Detection and Response.

В Kaspersky Endpoint Security 11.9.0 дистрибутив приложения Kaspersky Endpoint Agent исключен из комплекта поставки Kaspersky Endpoint Security. Вам нужно загрузить дистрибутив Kaspersky Endpoint Agent отдельно.

Соответствие версий KES и KEA

Миграция политик и задач Kaspersky Endpoint Agent

В Kaspersky Endpoint Security 11.7.0 добавлен мастер миграции с Kaspersky Endpoint Agent на Kaspersky Endpoint Security. Вы можете перенести параметры политик и задач для следующих решений:

• Kaspersky Sandbox;
• Kaspersky Endpoint Detection and Response Optimum (EDR Optimum);
• Kaspersky Managed Detection and Response (MDR).

Рекомендуем сначала выполнить миграцию с Kaspersky Endpoint Agent на Kaspersky Endpoint Security на одном компьютере, затем на группе компьютеров и далее выполнить миграцию на всех компьютерах организации.

Чтобы перенести параметры политик и задач с Kaspersky Endpoint Agent на Kaspersky Endpoint Security,

в главном окне Web Console выберите Операции → Миграция с Kaspersky Endpoint Agent.

В результате запустится мастер миграции политик и задач. Следуйте его указаниям.

Шаг 1. Миграция политик

Мастер миграции создает новую политику, в которой будут объединены параметры политик Kaspersky Endpoint Security и Kaspersky Endpoint Agent. В списке политик выберите политики Kaspersky Endpoint Agent, параметры которых вы хотите объединить с политикой Kaspersky Endpoint Security. Нажмите на политику Kaspersky Endpoint Agent, чтобы выбрать политику Kaspersky Endpoint Security, с которой вы хотите объединить параметры. Убедитесь, что политики выбраны верно и перейдите к следующем шагу.

Шаг 2. Миграция задач

Мастер миграции создает новые задачи для Kaspersky Endpoint Security. В списке задач выберите задачи Kaspersky Endpoint Agent, которые вы хотите создать для Kaspersky Endpoint Security. Мастер поддерживает задачи для решений Kaspersky Endpoint Detection and Response Optimum и Kaspersky Sandbox. Перейдите к следующему шагу.

Шаг 3. Завершение работы мастера

Завершите работу мастера. В результате работы мастера будут выполнены следующие действия:

• Создана новая политика Kaspersky Endpoint Security.

  В политике объединены параметры Kaspersky Endpoint Security и Kaspersky Endpoint Agent. Политика называется <Название политики Kaspersky Endpoint Security> & <Название политики Kaspersky Endpoint Agent>. Новая политика имеет статус Неактивна. Для продолжения работы измените статусы политик Kaspersky Endpoint Agent и Kaspersky Endpoint Security на Неактивна и активируйте новую объединенную политику.

  После миграции из Kaspersky Endpoint Agent на Kaspersky Endpoint Security для Windows убедитесь, что в новой политике настроены функции передачи данных на Сервер администрирования: данные о файлах карантина и данные о цепочке развития угрозы. Значения параметров передачи данных не мигрируют из политики Kaspersky Endpoint Agent.

• Созданы новые задачи Kaspersky Endpoint Security.

  Новые задачи представляют собой копии задач Kaspersky Endpoint Agent для решений Kaspersky Endpoint Detection and Response Optimum и Kaspersky Sandbox. При этом мастер оставляет задачи Kaspersky Endpoint Agent без изменений.

Миграция конфигурации [KES+KEA] на [KES+встроенный агент]

В Kaspersky Endpoint Security версии 11.7.0 добавлены встроенные агенты для работы решений Kaspersky Endpoint Detection and Response Optimum 2.0 (EDR Optimum) и Kaspersky Sandbox 2.0. Теперь вам не нужно отдельное приложение Kaspersky Endpoint Agent для работы этих решений. При обновлении Kaspersky Endpoint Security до версии 11.7.0 решения EDR Optimum и Kaspersky Sandbox продолжат работу с Kaspersky Endpoint Security. Также приложение Kaspersky Endpoint Agent будет удалено с компьютера.

В Kaspersky Endpoint Security 11.9.0 дистрибутив приложения Kaspersky Endpoint Agent исключен из комплекта поставки Kaspersky Endpoint Security. Вам нужно загрузить дистрибутив Kaspersky Endpoint Agent отдельно.

Миграция конфигурации [KES+KEA] на [KES+встроенный агент] состоит из следующих этапов:

1. Обновление Kaspersky Security Center

   Обновите все компоненты Kaspersky Security Center до версии 13.2, включая Агент администрирования на компьютерах пользователей и Web Console.

2. Обновление веб-плагина Kaspersky Endpoint Security

   В Kaspersky Security Center Web Console обновите веб-плагин Kaspersky Endpoint Security до версии 11.7.0. Управление компонентами EDR Optimum и Kaspersky Sandbox доступно только в Web Console.

3. Миграция политики и задач

   С помощью мастера миграции политик и задач Kaspersky Endpoint Agent перенесите параметры работы Kaspersky Endpoint Agent в приложение Kaspersky Endpoint Security для Windows.

   В результате будет создана новая политика Kaspersky Endpoint Security. Новая политика имеет статус Неактивна. Для применения политики откройте свойства политики, примите условия Положения о Kaspersky Security Network и измените статус на Активна.

4. Лицензирование функций

   Если для активации Kaspersky Endpoint Security для Windows и Kaspersky Endpoint Agent у вас общая лицензия Kaspersky Endpoint Detection and Response Optimum или Kaspersky Optimum Security, после обновления приложения до версии 11.7.0 активация функции EDR Optimum будет выполнена автоматически. Дополнительных действий не требуется.

   Если для активации функциональности EDR Optimum у вас отдельная лицензия Kaspersky Endpoint Detection and Response Optimum Add-on, вам нужно убедиться, что ключ EDR Optimum добавлен в хранилище Kaspersky Security Center и функция автоматического распространения лицензионного ключа включена. После обновления приложения до версии 11.7.0 активация функции EDR Optimum будет выполнена автоматически.

   Если для активации Kaspersky Endpoint Agent у вас лицензия Kaspersky Endpoint Detection and Response Optimum или Kaspersky Optimum Security, а для активации Kaspersky Endpoint Security для Windows у вас другая лицензия, вам нужно заменить ключ для Kaspersky Endpoint Security для Windows на общий ключ Kaspersky Endpoint Detection and Response Optimum или Kaspersky Optimum Security. Вы можете заменить ключ с помощью задачи Добавление ключа.

   Функциональность Kaspersky Sandbox активировать не требуется. Функциональность Kaspersky Sandbox будет доступна сразу после обновления и активации Kaspersky Endpoint Security для Windows.

5. Обновление приложения Kaspersky Endpoint Security

   Для обновления приложения с миграцией функций EDR Optimum и Kaspersky Sandbox рекомендуется использовать задачу удаленной установки.

   Для обновления приложения с помощью задачи удаленной установки вам нужно выполнить следующие настройки:

   • Выберите компоненты Endpoint Detection and Response Optimum или Kaspersky Sandbox в параметрах инсталляционного пакета.
   • Исключите компонент Kaspersky Endpoint Agent в параметрах инсталляционного пакета.

   Также вы можете обновить приложение следующими способами:

   • Через службу обновлений "Лаборатории Касперского" (Seamless Update – SMU).
   • Локально с помощью мастера установки.

   В этом случае вам нужно проверить конфигурацию приложения Kaspersky Endpoint Agent, которое установлено на компьютере. Если в составе Kaspersky Endpoint Agent установлен компонент Endpoint Detection and Response Expert (KATA EDR), удалите компонент перед обновлением приложения. Если удалить компонент Endpoint Detection and Response Expert (KATA EDR) невозможно, Kaspersky Endpoint Security исключит компоненты EDR Optimum и Kaspersky Sandbox при обновлении приложения. Вы можете установить компоненты с помощью задачи Изменение состава компонентов приложения после обновления приложения.

   Kaspersky Endpoint Security поддерживает автоматический выбор компонентов при обновлении приложения на компьютере с установленным приложением Kaspersky Endpoint Agent. Автоматический выбор компонентов зависит от прав учетной записи пользователя, который обновляет приложение.

   Если вы обновляете Kaspersky Endpoint Security с помощью EXE-файла или с помощью MSI-файла под системной учетной записью (SYSTEM), Kaspersky Endpoint Security получает доступ к действующим лицензиям решений "Лаборатории Касперского". Таким образом, если на компьютере, например, установлено приложение Kaspersky Endpoint Agent и активировано решение EDR Optimum, установщик Kaspersky Endpoint Security автоматически сконфигурирует набор компонентов и выберет компонент EDR Optimum. При этом Kaspersky Endpoint Security перейдет на работу со встроенным агентом и удалит Kaspersky Endpoint Agent. Запуск установщика MSI под системной учетной записью (SYSTEM) обычно выполняется при обновлении через службу обновлений "Лаборатории Касперского" (SMU) или при развертывании инсталляционного пакета через Kaspersky Security Center.

   Если вы обновляете Kaspersky Endpoint Security с помощью MSI-файла под учетной записью непривилегированного пользователя, у Kaspersky Endpoint Security отсутствует доступ к действующим лицензиям решений "Лаборатории Касперского". При этом Kaspersky Endpoint Security автоматически выбирает компоненты на основании конфигурации Kaspersky Endpoint Agent следующим образом:

   • Если установлен компонент Endpoint Detection and Response Expert (KATA EDR), Kaspersky Endpoint Security выберет компонент Endpoint Agent. Kaspersky Endpoint Security выберет только компонент Endpoint Agent, даже если в приложении Kaspersky Endpoint Agent установлены другие компоненты, например, конфигурация [KATA EDR+KSB].
   • Если установлен компонент Kaspersky Sandbox, EDR Optimum или конфигурация [Kaspersky Sandbox+EDR Optimum], Kaspersky Endpoint Security выберет соответствующие компоненты. При этом Kaspersky Endpoint Security перейдет на работу со встроенным агентом и удалит Kaspersky Endpoint Agent.
6. Перезагрузка компьютера

   Для завершения обновления приложения со встроенным агентом перезагрузите компьютер. При обновлении приложения установщик удаляет Kaspersky Endpoint Agent до перезагрузки компьютера. После перезагрузки компьютера установщик добавляет встроенный агент. Таким образом, Kaspersky Endpoint Security не выполняет функции EDR и Kaspersky Sandbox до перезагрузки компьютера.

7. Проверка работы Kaspersky Endpoint Detection and Response Optimum и Kaspersky Sandbox

   Если после обновления приложения компьютер имеет статус Критический в консоли Kaspersky Security Center, выполните следующие действия:

   • Убедитесь, что на компьютере установлен Агент администрирования версии 13.2.
   • Проверьте статус работы компонентов EDR Optimum и Kaspersky Sandbox с помощью отчета Отчет о статусе компонентов программы. Если компонент имеет статус Не установлен, установите компоненты с помощью задачи Изменение состава компонентов приложения.
   • Убедитесь, что вы приняли условия Положения о Kaspersky Security Network в новой политике Kaspersky Endpoint Security для Windows.

   Убедитесь в том, что функция EDR Optimum активирована с помощью отчета Отчет о статусе компонентов приложения. Если компонент имеет статус Не поддерживается лицензией, убедитесь, что функция автоматического распространения лицензионного ключа EDR Optimum включена.

Обновление приложения в составе KATA EDR

Если у вас установлено приложение Kaspersky Endpoint Agent для интеграции с Kaspersky Anti Targeted Attack Platform (компонент Endpoint Detection and Response Expert (KATA EDR)), вы можете обновить Kaspersky Endpoint Security для Windows любым способом:

• С помощью задачи удаленной установки.

  Для этого вам нужно выполнить следующие настройки:

  • Исключите компоненты Endpoint Detection and Response Optimum и Kaspersky Sandbox в параметрах инсталляционного пакета.
  • Выберите компонент Kaspersky Endpoint Agent в параметрах инсталляционного пакета. Если на компьютере уже установлен Kaspersky Endpoint Agent, приложение будет обновлено до версии 3.11.
• Через службу обновлений "Лаборатории Касперского" (SMU).

  Для этого вам нужно подтвердить обновление приложения. Kaspersky Endpoint Security исключает компоненты Endpoint Detection and Response Optimum и Kaspersky Sandbox из установки. Обновление версии Kaspersky Endpoint Agent не поддерживается. Вы можете обновить Kaspersky Endpoint Agent вручную.

• Локально с помощью мастера установки.

  Kaspersky Endpoint Security исключает компоненты Endpoint Detection and Response Optimum и Kaspersky Sandbox из установки. Если на компьютере уже установлен Kaspersky Endpoint Agent, приложение будет обновлено до версии 3.11.

Managed Detection and Response

Интеграция с MDR

Для интеграции с Kaspersky Managed Detection and Response вам нужно включить компонент Managed Detection and Response и настроить параметры Kaspersky Endpoint Security.

Для работы Managed Detection and Response должны быть включены следующие компоненты:

• Kaspersky Security Network (расширенный режим).
• Анализ поведения.

Эти компоненты должны быть включены обязательно. В противном случае Kaspersky Managed Detection and Response не работает, так как не получает необходимые данные телеметрии.

Дополнительно Kaspersky Managed Detection and Response использует данные, полученные от других компонентов приложения. Включение этих компонентов не является обязательным. К компонентам, которые предоставляют дополнительные данные, относятся следующие компоненты:

• Защита от веб-угроз.
• Защита от почтовых угроз.
• Сетевой экран.

Также для работы Kaspersky Managed Detection and Response c Сервером администрирования через Kaspersky Security Center Web Console вам нужно установить новое безопасное соединение – фоновое соединение. Kaspersky Managed Detection and Response предлагает установить фоновое соединение при развертывании решения. Убедитесь, что фоновое соединение установлено. Подробнее об интеграции Kaspersky Security Center с другими решениями "Лаборатории Касперского" см. в справке Kaspersky Security Center.

Интеграция с Kaspersky Managed Detection and Response состоит из следующих этапов:

1. Настройка Локального Kaspersky Security Network

   Если вы используете Kaspersky Security Center Cloud Console, этот шаг нужно пропустить. Kaspersky Security Center Cloud Console автоматически настраивает Локальный Kaspersky Security Network при установке плагина MDR.

   Локальный KSN обеспечивает обмен данными между компьютерами и выделенными серверами Kaspersky Security Network, а не Глобальным KSN.

   Загрузите конфигурационный файл Kaspersky Security Network в свойствах Сервера администрирования. Конфигурационный файл Kaspersky Security Network находится в ZIP-архиве конфигурационного файла MDR. Вы можете получить ZIP-архив в Консоли Kaspersky Managed Detection and Response. Подробнее о настройке Локального Kaspersky Security Network см. в справке Kaspersky Security Center. Также вы можете загрузить конфигурационный файл Kaspersky Security Network на компьютер из командной строки (см. инструкцию ниже).

   Как настроить Локальный Kaspersky Security Network из командной строки

   1. Запустите интерпретатор командной строки cmd от имени администратора.
   2. Перейдите в папку, в которой расположен исполняемый файл Kaspersky Endpoint Security.
   3. Выполните команду:

      avp.com KSN /private <имя файла>

      где <имя файла> – имя конфигурационного файла с параметрами Локального KSN (формат файла PKCS7 или PEM).

      Пример: avp.com KSN /private C:\kpsn_config.pkcs7

   В результате Kaspersky Endpoint Security будет использовать Локальный KSN для определения репутации файлов, приложений и веб-сайтов. В параметрах политики в разделе Kaspersky Security Network будет указан статус работы Сеть KSN: Локальный KSN.

   Для работы Managed Detection and Response необходимо включить расширенный режим KSN.

2. Включение компонента Managed Detection and Response

   Загрузите конфигурационный файл BLOB в политике Kaspersky Endpoint Security (см. инструкцию ниже). BLOB-файл содержит идентификатор клиента и информацию о лицензии Kaspersky Managed Detection and Response. BLOB-файл находится в ZIP-архиве конфигурационного файла MDR. Вы можете получить ZIP-архив в Консоли Kaspersky Managed Detection and Response. Подробную информацию о BLOB-файле см. в справке Kaspersky Managed Detection and Response.

   Как включить компонент Managed Detection and Response в Консоли администрирования (MMC)

   1. Откройте Консоль администрирования Kaspersky Security Center.
   2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
   3. В рабочей области выберите закладку Политики.
   4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
   5. В окне политики выберите Detection and Response → Managed Detection and Response.
   6. Установите флажок Managed Detection and Response.
   7. В блоке Настройка нажмите на кнопку Импорт и выберите BLOB-файл, полученный в Консоли Kaspersky Managed Detection and Response. Файл имеет расширение P7.
   8. Сохраните внесенные изменения.

   Как включить компонент Managed Detection and Response в Web Console и Cloud Console

   1. В главном окне Web Console выберите Устройства → Политики и профили политик.
   2. Нажмите на название политики Kaspersky Endpoint Security.

      Откроется окно свойств политики.

   3. Выберите закладку Параметры программы.
   4. Перейдите в раздел Detection and Response → Managed Detection and Response.
   5. Включите переключатель Managed Detection and Response.
   6. Нажмите на кнопку Импорт и выберите BLOB-файл, полученный в Консоли Kaspersky Managed Detection and Response. Файл имеет расширение P7.
   7. Сохраните внесенные изменения.

   Как включить компонент Managed Detection and Response из командной строки

   1. Запустите интерпретатор командной строки cmd от имени администратора.
   2. Перейдите в папку, в которой расположен исполняемый файл Kaspersky Endpoint Security.
   3. Выполните команду:

      avp.com MDRLICENSE /ADD <имя файла> /login=<имя пользователя> /password=<пароль>

      Для выполнения команды должна быть включена Защита паролем. Пользователь должен иметь разрешение Настройка приложения.

   В результате Kaspersky Endpoint Security проверит BLOB-файл. Проверка BLOB-файла включает в себя проверку цифровой подписи и срока действия лицензии. Если BLOB-файл прошел проверку, Kaspersky Endpoint Security загрузит файл и отправит файл на компьютер при следующей синхронизации с Kaspersky Security Center. Проверьте статус работы компонента с помощью отчета Отчет о статусе компонентов приложения. Также вы можете посмотреть статус работы компонента в локальном интерфейсе Kaspersky Endpoint Security в отчетах. В список компонентов Kaspersky Endpoint Security будет добавлен компонент Managed Detection and Response.

Миграция из Kaspersky Endpoint Agent

Приложение Kaspersky Endpoint Security версии 11 или выше поддерживает работу с решением MDR. Kaspersky Endpoint Security версий 11 – 11.5.0 только отправляет данные телеметрии для обнаружения угроз в Kaspersky Managed Detection and Response. Kaspersky Endpoint Security версии 11.6.0 выполняет все функции встроенного агента (Kaspersky Endpoint Agent).

Если вы используете Kaspersky Endpoint Security 11 – 11.5.0, для работы с решением MDR нужно обновить базы до актуальной версии. Также требуется установить Kaspersky Endpoint Agent.

Если вы используете Kaspersky Endpoint Security 11.6.0 или выше, для работы с решением MDR устанавливать Kaspersky Endpoint Agent не требуется.

Для миграции из Kaspersky Endpoint Agent на Kaspersky Endpoint Security для Windows вам нужно выполнить следующие действия:

1. Настройте интеграцию с Kaspersky Managed Detection and Response в политике Kaspersky Endpoint Security.
2. Выключите компонент Managed Detection and Response в политике Kaspersky Endpoint Agent.

Если политика Kaspersky Endpoint Security также применяется к компьютерам, на которых установлено приложение Kaspersky Endpoint Security 11 – 11.5.0, необходимо сначала создать отдельную политику Kaspersky Endpoint Agent для этих компьютеров. В новой политике необходимо настроить интеграцию с Kaspersky Managed Detection and Response.

Endpoint Detection and Response

Kaspersky Endpoint Detection and Response использует следующие средства анализа угроз (Threat Intelligence):

• Инфраструктура облачных служб Kaspersky Security Network (далее также "KSN"), предоставляющую доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции приложений "Лаборатории Касперского" на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний. Для работы EDR Expert используется решение Kaspersky Private Security Network (KPSN), отправляющее данные на региональные серверы, не передавая данные с устройств в KSN.
• Интеграция с платформой Kaspersky Threat Intelligence Portal, которая содержит и отображает информацию о репутации файлов и веб-адресов.
• База угроз "Лаборатории Касперского" Kaspersky Threats.
• Технология Cloud Sandbox, которая позволяет запускать подозрительные файлы в изолированной среде и определять их репутацию.

Интеграция с Kaspersky Endpoint Detection and Response

Для интеграции с Kaspersky Endpoint Detection and Response вам нужно добавить компонент Endpoint Detection and Response Optimum (EDR Optimum) или компонент Endpoint Detection and Response Expert (EDR Expert) и настроить параметры Kaspersky Endpoint Security.

Компоненты EDR Optimum и EDR Expert несовместимы.

Для работы Endpoint Detection and Response должны быть выполнены следующие условия:

• Kaspersky Security Center версии 13.2. В более ранних версиях Kaspersky Security Center невозможно активировать функциональность Endpoint Detection and Response.
• Управление EDR Optimum доступно в Kaspersky Security Center Web Console и Kaspersky Security Center Cloud Console. Управление EDR Expert доступно только в Kaspersky Security Center Cloud Console. Управлять функциональностью в Консоли администрирования (MMC) невозможно.
• Приложение активировано и функциональность входит в лицензию.
• Компонент Endpoint Detection and Response включен.
• Компоненты приложения, которые обеспечивают работу Endpoint Detection and Response, включены и работают. Работу Endpoint Detection and Response обеспечивают следующие компоненты:
  • Защита от файловых угроз.
  • Защита от веб-угроз.
  • Защита от почтовых угроз.
  • Защита от эксплойтов.
  • Анализ поведения.
  • Предотвращение вторжений.
  • Откат вредоносных действий.
  • Адаптивный контроль аномалий.

Интеграция с Kaspersky Endpoint Detection and Response состоит из следующих этапов:

1. Установка компонентов Endpoint Detection and Response

   Вы можете выбрать компонент EDR Optimum или EDR Expert во время установки или обновления приложения, а также с помощью задачи Изменение состава компонентов приложения.

   Для завершения обновления приложения с новыми компонентами нужно перезагрузить компьютер.

2. Активация Kaspersky Endpoint Detection and Response

   Вы можете приобрести лицензию на использование Kaspersky Endpoint Detection and Response следующими способами:

   • Функциональность Endpoint Detection and Response включена в состав лицензии на использование Kaspersky Endpoint Security для Windows.

     Функциональность будет доступна сразу после активации Kaspersky Endpoint Security для Windows.

   • Приобретение отдельной лицензии на использование EDR Optimum или EDR Expert (Kaspersky Endpoint Detection and Response Add-on).

     Функциональность будет доступна после добавления отдельного ключа Kaspersky Endpoint Detection and Response. В результате на компьютере будет установлено два ключа: ключ для Kaspersky Endpoint Security и ключ для Kaspersky Endpoint Detection and Response.

     Лицензирование отдельной функциональности Endpoint Detection and Response не отличается от лицензирования Kaspersky Endpoint Security.

   Убедитесь, что функциональность EDR Optimum или EDR Expert включена в лицензию и работает в локальном интерфейсе приложения.

3. Включение компонентов Endpoint Detection and Response

   Вы можете включить или выключить компонент в настройках политики Kaspersky Endpoint Security для Windows.

   Как включить или выключить компонент Endpoint Detection and Response в Web Console и Cloud Console

   1. В главном окне Web Console выберите Устройства → Политики и профили политик.
   2. Нажмите на название политики Kaspersky Endpoint Security.

      Откроется окно свойств политики.

   3. Выберите закладку Параметры программы.
   4. Перейдите в раздел Detection and Response → Endpoint Detection and Response.
   5. Включите переключатель Endpoint Detection and Response.
   6. Сохраните внесенные изменения.

   В результате компонент Endpoint Detection and Response будет включен. Проверьте статус работы компонента с помощью отчета Отчет о статусе компонентов приложения. Также вы можете посмотреть статус работы компонента в локальном интерфейсе Kaspersky Endpoint Security в отчетах. В список компонентов Kaspersky Endpoint Security будет добавлен компонент Endpoint Detection and Response Optimum или Endpoint Detection and Response Expert.

4. Включение передачи данных на Сервер администрирования

   Для работы всех функций Endpoint Detection and Response должна быть включена передача следующих данных:

   • Данные о файлах карантина.

     Данные нужны для получения информации о помещенных на компьютере файлах на карантин в Web Console и Cloud Console. В Web Console и Cloud Console вы можете, например, загрузить файл из карантина на компьютер для анализа.

   • Данные о цепочке развития угрозы.

     Данные нужны для получения информации об обнаруженных на компьютере угрозах в Web Console и Cloud Console. В Web Console и Cloud Console вы можете просматривать детали обнаружения и выполнять действия по реагированию.

   Как включить передачу данных на Сервер администрирования в Web Console и Cloud Console

   1. В главном окне Web Console выберите Устройства → Политики и профили политик.
   2. Нажмите на название политики Kaspersky Endpoint Security.

      Откроется окно свойств политики.

   3. Выберите закладку Параметры программы.
   4. Перейдите в раздел Общие настройки → Отчеты и хранилище.
   5. В блоке Передача данных на Сервер администрирования установите следующие флажки:
      • О файлах карантина.
      • О цепочке развития угрозы.
   6. Сохраните внесенные изменения.

Миграция из Kaspersky Endpoint Agent

Если вы используете Kaspersky Endpoint Security 11.7.0 и выше с установленным компонентом EDR Optimum (встроенный агент), поддержка взаимодействия с решением Kaspersky Endpoint Detection and Response Optimum доступна сразу после установки. Компонент EDR Optimum несовместим с приложением Kaspersky Endpoint Agent. Если на компьютере установлено приложение Kaspersky Endpoint Agent, при обновлении Kaspersky Endpoint Security до версии 11.7.0 решение Kaspersky Endpoint Detection and Response Optimum продолжит работу с Kaspersky Endpoint Security (миграция конфигурации [KES+KEA] на [KES+встроенный агент]). Также Kaspersky Endpoint Agent будет удален с компьютера. Для завершения миграции из Kaspersky Endpoint Agent на Kaspersky Endpoint Security для Windows вам нужно перенести параметры политик и задач с помощью мастера миграции.

Если вы используете Kaspersky Endpoint Security 11.4.0-11.6.0 для взаимодействия с Kaspersky Endpoint Detection and Response Optimum, в состав приложения включено приложение Kaspersky Endpoint Agent. Вы можете установить Kaspersky Endpoint Agent совместно с Kaspersky Endpoint Security.

В Kaspersky Endpoint Security 11.9.0 дистрибутив приложения Kaspersky Endpoint Agent исключен из комплекта поставки Kaspersky Endpoint Security. Вам нужно загрузить дистрибутив Kaspersky Endpoint Agent отдельно.

Решение Kaspersky Endpoint Detection and Response Expert не поддерживает работу с Kaspersky Endpoint Agent. Решение Kaspersky Endpoint Detection and Response Expert использует для работы Kaspersky Endpoint Security со встроенным агентом (версия 11.8.0 и выше).

Компонент EDR Optimum в составе Kaspersky Endpoint Security поддерживает работу с решением Kaspersky Endpoint Detection and Response Optimum версии 2.0. Работа с решением Kaspersky Endpoint Detection and Response Optimum версии 1.0 не поддерживается.

Поиск индикаторов компрометации (стандартная задача)

Индикатор компрометации (Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к компьютеру (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему. Задача Поиск IOC позволяет обнаруживать индикаторы компрометации на компьютере и выполнять действия по реагированию на угрозы.

Для поиска индикаторов компрометации Kaspersky Endpoint Security использует IOC-файлы. IOC-файлы – файлы, содержащие набор индикаторов, при совпадении с которыми приложение считает событие обнаружением. IOC-файлы должны соответствовать стандарту описания OpenIOC.

Режим запуска задачи Поиск IOC

Kaspersky Endpoint Detection and Response позволяет создавать стандартные задачи поиска IOC для обнаружения компрометации данных. Стандартная задача поиска IOC – групповая или локальная задача, которые создаются и настраиваются вручную в Web Console. Для запуска задач используются IOC-файлы, подготовленные пользователем. Если вы хотите добавить индикатор компрометации вручную, ознакомьтесь с требованиями к IOC-файлам.

В файле, который можно загрузить по ссылке ниже, приведена таблица с полным списком IOC-терминов стандарта OpenIOC.

ЗАГРУЗИТЬ ФАЙЛ IOC_TERMS.XLSX

Kaspersky Endpoint Security также поддерживает автономные задачи поиска IOC при работе приложения в составе решения Kaspersky Sandbox.

Создание задачи Поиск IOC

Вы можете создавать задачи Поиск IOC вручную следующими способами:

• В деталях обнаружения (только для EDR Optimum).

  Детали обнаружения – инструмент для просмотра всей собранной информации об обнаруженной угрозе. Детали обнаружения содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями обнаружения см. в справке Kaspersky Endpoint Detection and Response Optimum и в справке Kaspersky Endpoint Detection and Response Expert.

• С помощью мастера создания задач.

Вы можете настроить параметры задачи для EDR Optimum в Web Console и Cloud Console. Параметры задачи для EDR Expert доступны только в Cloud Console.

Чтобы создать задачу Поиск IOC, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Задачи.

   Откроется список задач.

2. Нажмите на кнопку Добавить.

   Запустится мастер создания задачи.

3. Настройте параметры задачи:
   1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.10.0).
   2. В раскрывающемся списке Тип задачи выберите Поиск IOC.
   3. В поле Название задачи введите короткое описание задачи.
   4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.
4. Выберите устройства в соответствии с выбранным вариантом области действия задачи. Перейдите к следующему шагу.
5. Выберите учетную запись пользователя, права которого требуется использовать для запуска задачи. Перейдите к следующему шагу.

   По умолчанию Kaspersky Endpoint Security запускает задачу под системной учетной записью (SYSTEM).

   У системной учетной записи (SYSTEM) отсутствуют права на выполнение задачи Поиск IOC на сетевых дисках. Если вы хотите выполнить задачу на сетевом диске, выберите учетную запись пользователя, у которого есть доступ к этому диску.

   Для работы автономных задач поиска IOC на сетевых дисках вам нужно вручную выбрать учетную запись пользователя, у которого есть доступ к этом диску, в свойствах задачи.

6. Завершите работу мастера.

   В списке задач отобразится новая задача.

7. Нажмите на новую задачу.

   Откроется окно свойств задачи.

8. Выберите закладку Параметры программы.
9. Перейдите в раздел Настройки поиска IOC.
10. Загрузите IOC-файлы для поиска индикаторов компрометации.

    После загрузки IOC-файлов вы можете просмотреть список индикаторов из IOC-файлов.

    Не рекомендуется добавлять или удалять IOC-файлы после запуска задачи. Это может привести к некорректному отображению результатов поиска IOC для предыдущих запусков задачи. Для поиска индикаторов компрометации по новым IOC-файлам рекомендуется добавлять новые задачи.

11. Настройте действия при обнаружении индикатора компрометации:
    • Изолировать компьютер от сети. Если выбран этот вариант действия, то Kaspersky Endpoint Security изолирует компьютер от сети для предотвращения распространения угрозы. Вы можете настроить время изоляции в параметрах компонента Endpoint Detection and Response.
    • Копию поместить на карантин, объект удалить. Если выбран этот вариант действия, то Kaspersky Endpoint Security удаляет вредоносный объект, обнаруженный на компьютере. Перед удалением объекта Kaspersky Endpoint Security формирует его резервную копию на тот случай, если впоследствии понадобится восстановить объект. Kaspersky Endpoint Security помещает резервную копию на карантин.
    • Запускать проверку важных областей. Если выбран этот вариант действия, то Kaspersky Endpoint Security запускает задачу Проверка важных областей. По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы.
12. Перейдите в раздел Дополнительно.
13. Выберите типы данных (IOC-документы), которые необходимо анализировать во время выполнения задачи.

    Kaspersky Endpoint Security автоматически выбирает типы данных (IOC-документы) для задачи Поиск IOC в соответствии с содержанием загруженных IOC-файлов. Не рекомендуется самостоятельно отменять выбор типов данных.

    Дополнительно вы можете настроить области поиска для следующих типов данных:

    • Файлы - FileItem. Задайте область поиска IOC на компьютере с помощью предустановленных областей.

      По умолчанию Kaspersky Endpoint Security выполняет поиск IOC только в важных областях компьютера, таких как папки Загрузки, Рабочий стол, папка с временными файлами операционной системы и другие. Также вы можете добавить области поиска вручную.

    • Журналы событий Windows - EventLogItem. Задайте период времени, в течение которого зафиксированы события. Также вы можете выбрать журналы событий Windows для поиска IOC. По умолчанию выбраны следующие журналы событий: журнал событий приложений, журнал системных событий и журнал событий безопасности.

    Для типа данных Реестр Windows - RegistryItem Kaspersky Endpoint Security анализирует определенный набор разделов реестра.

14. В окне свойств задачи выберите закладку Расписание.
15. Настройте расписание запуска задачи.

    Для этой задачи функция Wake-on-LAN недоступна. Убедитесь, что компьютер включен для выполнения задачи.

16. Сохраните внесенные изменения.
17. Установите флажок напротив задачи.
18. Нажмите на кнопку Запустить.

В результате Kaspersky Endpoint Security запустит поиск индикаторов компрометации на компьютере. Вы можете просмотреть результаты выполнения задачи в свойствах задачи в разделе Результаты. Информацию об обнаруженных индикаторах компрометации вы можете посмотреть в свойствах задачи Параметры программы → Результаты поиска IOC.

Срок хранения результатов поиска IOC составляет 30 дней. По истечении этого времени Kaspersky Endpoint Security автоматически удаляет старые записи.

Помещение файла на карантин

При реагировании на угрозы Kaspersky Endpoint Detection and Response может создавать задачи Помещение файла на карантин. Это нужно, чтобы минимизировать последствия угрозы. Карантин – это специальное локальное хранилище на компьютере. Пользователь может поместить на карантин файлы, которые считает опасными для компьютера. Файлы на карантине хранятся в зашифрованном виде и не угрожают безопасности устройства. Kaspersky Endpoint Security использует карантин только при работе с решениями Kaspersky Sandbox и Kaspersky Endpoint Detection and Response. В остальных случаях Kaspersky Endpoint Security помещает файл в резервное хранилище. Подробнее о работе с карантином в составе решений см. в справке Kaspersky Sandbox, Kaspersky Endpoint Detection and Response Optimum, Kaspersky Endpoint Detection and Response Expert.

Вы можете создавать задачи Помещение файла на карантин следующими способами:

• В деталях обнаружения (только для EDR Optimum).

  Детали обнаружения – инструмент для просмотра всей собранной информации об обнаруженной угрозе. Детали обнаружения содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями обнаружения см. в справке Kaspersky Endpoint Detection and Response Optimum и в справке Kaspersky Endpoint Detection and Response Expert.

• С помощью мастера создания задач.

  Вам нужно ввести путь к файлу или хеш файла (SHA256 или MD5), или путь к файлу и хеш файла.

Задача Помещение файла на карантин имеет следующие ограничения:

1. Размер файла не должен превышать 100 МБ.
2. Критически важные системные объекты (англ. System Critical Object – SCO) поместить на карантин невозможно. К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security для Windows.
3. Вы можете настроить параметры задачи для EDR Optimum в Web Console и Cloud Console. Параметры задачи для EDR Expert доступны только в Cloud Console.

Чтобы создать задачу Помещение файла на карантин, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Задачи.

   Откроется список задач.

2. Нажмите на кнопку Добавить.

   Запустится мастер создания задачи.

3. Настройте параметры задачи:
   1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.10.0).
   2. В раскрывающемся списке Тип задачи выберите Помещение файла на карантин.
   3. В поле Название задачи введите короткое описание задачи.
   4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.
4. Выберите устройства в соответствии с выбранным вариантом области действия задачи. Нажмите на кнопку Далее.
5. Выберите учетную запись пользователя, права которого требуется использовать для запуска задачи. Нажмите на кнопку Далее.

   По умолчанию Kaspersky Endpoint Security запускает задачу под системной учетной записью (SYSTEM).

6. Завершите работу мастера по кнопке Готово.

   В списке задач отобразится новая задача.

7. Нажмите на новую задачу.

   Откроется окно свойств задачи.

8. Выберите закладку Параметры программы.
9. В списке файлов нажмите на кнопку Добавить.

   Запустится мастер добавления файла.

10. Для добавления файла вам нужно ввести полный путь к файлу или хеш файла и путь к файлу.

    Если файл расположен на сетевом диске, введите путь к файлу начиная с символов \\, а не с буквы диска. Например, \\server\shared_folder\file.exe. Если путь к файлу содержит букву сетевого диска, вы можете получить ошибку Файл не найден.

11. В окне свойств задачи выберите закладку Расписание.
12. Настройте расписание запуска задачи.

    Для этой задачи функция Wake-on-LAN недоступна. Убедитесь, что компьютер включен для выполнения задачи.

13. Нажмите на кнопку Сохранить.
14. Установите флажок напротив задачи.
15. Нажмите на кнопку Запустить.

В результате Kaspersky Endpoint Security переместит файл в карантин. Если файл заблокирован другим процессом, то задача будет отображаться со статусом Выполнено, но сам файл будет помещен на карантин только после перезагрузки компьютера. После перезагрузки компьютера убедитесь, что файл удален.

Задача Помещение файла на карантин может быть завершена с ошибкой Доступ запрещен, если вы пытаетесь поместить на карантин запущенный исполняемый файл. Создайте задачу завершения процесса для этого файла, а затем повторите попытку.

Задача Помещение файла на карантин может быть завершена с ошибкой Недостаточно места в хранилище карантина, если вы пытаетесь поместить на карантин большой файл. Очистите карантин или увеличьте размер карантина. Затем повторите попытку.

Вы можете восстановить файл из карантина или очистить карантин в Web Console. Восстановление объектов доступно на компьютере локально из командной строки.

Получение файла

Вы можете получать файлы с компьютеров пользователей. Например, вы можете настроить получение файла журнала событий, который создает стороннее приложение. Для получения файла вам нужно создать специальную задачу. В результате выполнения задачи файл будет сохранен в карантине. Вы можете загрузить этот файл на компьютер из карантина в Web Console. При этом на компьютере пользователя файл остается в исходной папке.

Размер файла не должен превышать 100 МБ.

Вы можете настроить параметры задачи для EDR Optimum в Web Console и Cloud Console. Параметры задачи для EDR Expert доступны только в Cloud Console.

Чтобы создать задачу Получение файла, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Задачи.

   Откроется список задач.

2. Нажмите на кнопку Добавить.

   Запустится мастер создания задачи.

3. Настройте параметры задачи:
   1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.10.0).
   2. В раскрывающемся списке Тип задачи выберите Получение файла.
   3. В поле Название задачи введите короткое описание задачи.
   4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.
4. Выберите устройства в соответствии с выбранным вариантом области действия задачи. Нажмите на кнопку Далее.
5. Выберите учетную запись пользователя, права которого требуется использовать для запуска задачи. Нажмите на кнопку Далее.

   По умолчанию Kaspersky Endpoint Security запускает задачу под системной учетной записью (SYSTEM).

6. Завершите работу мастера по кнопке Готово.

   В списке задач отобразится новая задача.

7. Нажмите на новую задачу.

   Откроется окно свойств задачи.

8. Выберите закладку Параметры программы.
9. В списке файлов нажмите на кнопку Добавить.

   Запустится мастер добавления файла.

10. Для добавления файла вам нужно ввести полный путь к файлу или хеш файла и путь к файлу.

    Если файл расположен на сетевом диске, введите путь к файлу начиная с символов \\, а не с буквы диска. Например, \\server\shared_folder\file.exe. Если путь к файлу содержит букву сетевого диска, вы можете получить ошибку Файл не найден.

11. В окне свойств задачи выберите закладку Расписание.
12. Настройте расписание запуска задачи.

    Для этой задачи функция Wake-on-LAN недоступна. Убедитесь, что компьютер включен для выполнения задачи.

13. Нажмите на кнопку Сохранить.
14. Установите флажок напротив задачи.
15. Нажмите на кнопку Запустить.

В результате Kaspersky Endpoint Security создаст копию файла и поместит копию в карантин. Вы можете загрузить файл из карантина в Web Console.

Удаление файла

Вы можете удаленно удалять файлы с помощью задачи Удаление файла. Например, вы можете удаленно удалить файл при реагировании на угрозы.

Задача Удаление файла имеет следующие ограничения:

• Критически важные системные объекты (англ. System Critical Object – SCO) удалить невозможно. К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security для Windows.
• Вы можете настроить параметры задачи для EDR Optimum в Web Console и Cloud Console. Параметры задачи для EDR Expert доступны только в Cloud Console.

Чтобы создать задачу Удаление файла, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Задачи.

   Откроется список задач.

2. Нажмите на кнопку Добавить.

   Запустится мастер создания задачи.

3. Настройте параметры задачи:
   1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.10.0).
   2. В раскрывающемся списке Тип задачи выберите Удаление файла.
   3. В поле Название задачи введите короткое описание задачи.
   4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.
4. Выберите устройства в соответствии с выбранным вариантом области действия задачи. Нажмите на кнопку Далее.
5. Выберите учетную запись пользователя, права которого требуется использовать для запуска задачи. Нажмите на кнопку Далее.

   По умолчанию Kaspersky Endpoint Security запускает задачу под системной учетной записью (SYSTEM).

6. Завершите работу мастера по кнопке Готово.

   В списке задач отобразится новая задача.

7. Нажмите на новую задачу.

   Откроется окно свойств задачи.

8. Выберите закладку Параметры программы.
9. В списке файлов нажмите на кнопку Добавить.

   Запустится мастер добавления файла.

10. Для добавления файла вам нужно ввести полный путь к файлу или хеш файла и путь к файлу.

    Если файл расположен на сетевом диске, введите путь к файлу начиная с символов \\, а не с буквы диска. Например, \\server\shared_folder\file.exe. Если путь к файлу содержит букву сетевого диска, вы можете получить ошибку Файл не найден.

11. В окне свойств задачи выберите закладку Расписание.
12. Настройте расписание запуска задачи.

    Для этой задачи функция Wake-on-LAN недоступна. Убедитесь, что компьютер включен для выполнения задачи.

13. Нажмите на кнопку Сохранить.
14. Установите флажок напротив задачи.
15. Нажмите на кнопку Запустить.

В результате Kaspersky Endpoint Security удалит файл с компьютера. Если файл заблокирован другим процессом, то задача будет отображаться со статусом Выполнено, но сам файл будет удален только после перезагрузки компьютера. После перезагрузки компьютера убедитесь, что файл удален.

Задача Удаление файла может быть завершена с ошибкой Доступ запрещен, если вы пытаетесь удалить запущенный исполняемый файл. Создайте задачу завершения процесса для этого файла, а затем повторите попытку.

Запуск процесса

Вы можете удаленно запускать файлы с помощью задачи Запуск процесса. Например, вы можете удаленно запускать утилиту, которая создает файл с конфигурацией компьютера. Далее с помощью задачи Получение файла, вы можете получить созданный файл в Kaspersky Security Center Web Console.

Вы можете настроить параметры задачи для EDR Optimum в Web Console и Cloud Console. Параметры задачи для EDR Expert доступны только в Cloud Console.

Чтобы создать задачу Запуск процесса, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Задачи.

   Откроется список задач.

2. Нажмите на кнопку Добавить.

   Запустится мастер создания задачи.

3. Настройте параметры задачи:
   1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (12.6).
   2. В раскрывающемся списке Тип задачи выберите Запуск процесса.
   3. В поле Название задачи введите короткое описание задачи.
   4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.
4. Выберите устройства в соответствии с выбранным вариантом области действия задачи. Нажмите на кнопку Далее.
5. Выберите учетную запись пользователя, права которого требуется использовать для запуска задачи. Нажмите на кнопку Далее.

   По умолчанию Kaspersky Endpoint Security запускает задачу под системной учетной записью (SYSTEM).

6. Завершите работу мастера по кнопке Готово.

   В списке задач отобразится новая задача.

7. Нажмите на новую задачу.
8. Откроется окно свойств задачи.
9. Выберите закладку Параметры программы.
10. Введите команду запуска процесса.

    Например, вы хотите запустить утилиту (utility.exe), которая сохраняет информацию о конфигурации компьютера в файл conf.txt в текущую папку (по умолчанию). Утилита расположена в папке C:\Users\admin\Diagnostic\. Конфигурационный файл необходимо сохранить в папке C:\Users\admin\Documents\Configuration. Введите следующие значения:

    • Исполняемая команда – C:\Users\admin\Diagnostic\utility.exe
    • Аргументы командной строки (необязательно) – /R conf.txt
    • Путь к рабочей папке (необязательно) – C:\Users\admin\Documents\Configuration
11. В окне свойств задачи выберите закладку Расписание.
12. Настройте расписание запуска задачи.

    Для этой задачи функция Wake-on-LAN недоступна. Убедитесь, что компьютер включен для выполнения задачи.

13. Нажмите на кнопку Сохранить.
14. Установите флажок напротив задачи.
15. Нажмите на кнопку Запустить.

В результате Kaspersky Endpoint Security выполнит команду в тихом режиме и запустит процесс. Вы можете просмотреть результаты выполнения задачи в свойствах задачи в разделе Результаты выполнения.

Завершение процесса

Вы можете удаленно завершать процессы с помощью задачи Завершение процесса. Например, вы можете удаленно завершить работу утилиты проверки скорости интернета, которая была запущена с помощью задачи Запуск процесса.

Если вы хотите запретить запуск файла, вы можете настроить компонент Запрет запуска объектов. Вы можете запретить запуск исполняемых файлов, скриптов, файлов офисного формата.

Задача Завершение процесса имеет следующие ограничения:

• Завершить процессы критически важных системных объектов (англ. System Critical Object – SCO) невозможно. К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security для Windows.
• Вы можете настроить параметры задачи для EDR Optimum в Web Console и Cloud Console. Параметры задачи для EDR Expert доступны только в Cloud Console.

Чтобы создать задачу Завершение процесса, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Задачи.

   Откроется список задач.

2. Нажмите на кнопку Добавить.

   Запустится мастер создания задачи.

3. Настройте параметры задачи:
   1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.10.0).
   2. В раскрывающемся списке Тип задачи выберите Завершение процесса.
   3. В поле Название задачи введите короткое описание задачи.
   4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.
4. Выберите устройства в соответствии с выбранным вариантом области действия задачи. Нажмите на кнопку Далее.
5. Выберите учетную запись пользователя, права которого требуется использовать для запуска задачи. Нажмите на кнопку Далее.

   По умолчанию Kaspersky Endpoint Security запускает задачу под системной учетной записью (SYSTEM).

6. Завершите работу мастера по кнопке Готово.

   В списке задач отобразится новая задача.

7. Нажмите на новую задачу.

   Откроется окно свойств задачи.

8. Выберите закладку Параметры программы.
9. Для завершения процесса вам нужно выбрать файл, работу которого вы хотите завершить. Вы можете выбрать файл следующими способами:
   • Введите полный путь к файлу.
   • Введите хеш файла и путь к файлу.
   • Введите идентификатор процесса PID (только для локальных задач).

   Если файл расположен на сетевом диске, введите путь к файлу начиная с символов \\, а не с буквы диска. Например, \\server\shared_folder\file.exe. Если путь к файлу содержит букву сетевого диска, вы можете получить ошибку Файл не найден.

10. В окне свойств задачи выберите закладку Расписание.
11. Настройте расписание запуска задачи.

    Для этой задачи функция Wake-on-LAN недоступна. Убедитесь, что компьютер включен для выполнения задачи.

12. Нажмите на кнопку Сохранить.
13. Установите флажок напротив задачи.
14. Нажмите на кнопку Запустить.

В результате Kaspersky Endpoint Security завершит процесс на компьютере. Например, если на компьютере запущено приложение GAME и вы завершили процесс game.exe, приложение будет закрыто без сохранения данных. Вы можете просмотреть результаты выполнения задачи в свойствах задачи в разделе Результаты.

Запрет запуска объектов

Запрет запуска объектов позволяет контролировать запуск исполняемых файлов и скриптов, а также открытие файлов офисного формата. Таким образом, вы можете, например, запретить запуск приложений, использование которых считаете небезопасным. В результате распространение угрозы может быть остановлено. Запрет запуска объектов поддерживает определенный набор расширений файлов офисного формата и определенный набор интерпретаторов скриптов.

Правило запрета запуска

Запрет запуска объектов управляет доступом пользователей к файлам с помощью правил запрета запуска. Правило запрета запуска – это набор критериев, которые приложение учитывает при реагировании на запуск объекта, например, при блокировании запуска объекта. Приложение идентифицирует файлы по их пути или контрольной сумме с помощью алгоритмов хеширования MD5 и SHA256.

Вы можете создавать правила запрета запуска следующими способами:

• В деталях обнаружения (только для EDR Optimum).

  Детали обнаружения – инструмент для просмотра всей собранной информации об обнаруженной угрозе. Детали обнаружения содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями обнаружения см. в справке Kaspersky Endpoint Detection and Response Optimum и в справке Kaspersky Endpoint Detection and Response Expert.

• С помощью групповой политики или локальных параметров приложения.

  Вам нужно ввести путь к файлу или хеш файла (SHA256 или MD5), или путь к файлу и хеш файла.

Вы также можете управлять Запретом запуска объектов локально из командной строки.

Запрет запуска объектов имеет следующие ограничения:

1. Правила запрета не распространяются на файлы, расположенные на компакт-дисках или в ISO-образах. Приложение не будет блокировать исполнение или открытие этих файлов.
2. Невозможно запретить запуск критически важных системных объектов (англ. System Critical Object – SCO). К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security для Windows.
3. Не рекомендуется создавать более 5000 правил запрета запуска, поскольку это может привести к нестабильности системы.

Режимы применения правил запрета запуска

Компонент Запрет запуска объектов может работать в двух режимах:

• Только статистика.

  В этом режиме Kaspersky Endpoint Security публикует в Журнал событий Windows и Kaspersky Security Center событие о попытках запуска исполняемых объектов или открытия документов, соответствующих критериям правил запрета, но не блокирует их запуск или открытие. Этот режим выбран по умолчанию.

• Активный.

  В этом режиме приложение блокирует запуск объектов или открытие документов, соответствующих критериям правил запрета. Также приложение публикует в журнал событий Windows и Kaspersky Security Center событие о попытках запуска объектов или открытия документов.

Управление Запретом запуска объектов

Вы можете настроить параметры компонента только в Web Console.

Чтобы запретить запуск объектов, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.

   Откроется окно свойств политики.

3. Выберите закладку Параметры программы.
4. Перейдите в раздел Detection and Response → Endpoint Detection and Response.
5. Используйте переключатель Запрет запуска, чтобы включить или выключить компонент.
6. В блоке Действие при запуске или открытии объекта выберите режим работы компонента:
   • Блокировать и записывать в отчет. В этом режиме приложение блокирует запуск объектов или открытие документов, соответствующих критериям правил запрета. Также приложение публикует в журнал событий Windows и Kaspersky Security Center событие о попытках запуска объектов или открытия документов.
   • Только записывать в отчет. В этом режиме Kaspersky Endpoint Security публикует в Журнал событий Windows и Kaspersky Security Center событие о попытках запуска исполняемых объектов или открытия документов, соответствующих критериям правил запрета, но не блокирует их запуск или открытие. Этот режим выбран по умолчанию.
7. Сформируйте список правил запрета запуска:
   1. Нажмите на кнопку Добавить.
   2. В открывшемся окне введите имя правила запрета запуска (например, Приложение A).
   3. В раскрывающемся списке Тип выберите объект, который вы хотите заблокировать: Исполняемый файл, Скрипт, Файл офисного формата.

      Если вы выберите неверный тип объекта, Kaspersky Endpoint Security не заблокирует файл или скрипт.

   4. Для добавления файла вам нужно ввести хеш файла (SHA256 или MD5) или полный путь к файлу, или хеш файла и путь к файлу.

      Если файл расположен на сетевом диске, введите путь к файлу начиная с символов \\, а не с буквы диска. Например, \\server\shared_folder\file.exe. Если путь к файлу содержит букву сетевого диска, Kaspersky Endpoint Security не заблокирует файл или скрипт.

      Запрет запуска объектов поддерживает определенный набор расширений файлов офисного формата и определенный набор интерпретаторов скриптов.

   5. Нажмите на кнопку ОК.
8. Сохраните внесенные изменения.

В результате Kaspersky Endpoint Security будет блокировать запуск объектов: запуск исполняемых файлов, скриптов и открытие файлов офисного формата. При этом вы можете, например, открыть файл скрипта в текстовом редакторе, даже если запуск скрипта запрещен. При блокировании запуска объекта Kaspersky Endpoint Security покажет пользователю стандартное уведомление приложения (см. рис. ниже), если уведомления включены в настройках приложения.

Уведомление Запрета запуска объектов

Сетевая изоляция компьютера

Сетевая изоляция позволяет автоматически изолировать компьютеры от сети, в результате реагирования на обнаружение индикатора компрометации (IOC) – автоматический режим. Также вы можете включить Сетевую изоляцию вручную на время исследования обнаруженной угрозы – ручной режим.

После включения Сетевой изоляции приложение разрывает все активные и блокирует все новые сетевые соединения TCP/IP на компьютере, кроме следующих соединений:

• соединения, указанные в исключениях из Сетевой изоляции;
• соединения, инициированные службами Kaspersky Endpoint Security;
• соединения, инициированные Агентом администрирования Kaspersky Security Center.

Вы можете настроить параметры компонента только в Web Console.

Автоматический режим Сетевой изоляции

Вы можете настроить автоматическое включение Сетевой изоляции, в результате реагирования на обнаружение IOC. Для настройки автоматического режима Сетевой изоляции предназначена групповая политика.

Как настроить автоматическое включение Сетевой изоляции компьютера при обнаружении IOC

Вы можете настроить автоматическое выключение Сетевой изоляции по истечении заданного периода времени. По умолчанию приложение выключает Сетевую изоляцию через 8 часов с момента включения. Также вы можете выключить Сетевую изоляцию вручную (см. инструкцию ниже). После выключения Сетевой изоляции компьютер может работать в сети без ограничений.

Как задать период выключения Сетевой изоляции компьютера в автоматическом режиме

Ручной режим Сетевой изоляции

Вы можете включать или выключать Сетевую изоляцию вручную. Для настройки ручного режим Сетевой изоляции предназначены свойства компьютера в консоли Kaspersky Security Center.

Вы можете включить Сетевую изоляцию следующими способами:

• В деталях обнаружения (только для EDR Optimum).

  Детали обнаружения – инструмент для просмотра всей собранной информации об обнаруженной угрозе. Детали обнаружения содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями обнаружения см. в справке Kaspersky Endpoint Detection and Response Optimum и в справке Kaspersky Endpoint Detection and Response Expert.

• С помощью локальных параметров приложения.

Как вручную включить Сетевую изоляцию компьютера

Вы можете настроить автоматическое выключение Сетевой изоляции по истечении заданного периода времени. По умолчанию приложение выключает Сетевую изоляцию через 8 часов с момента включения. После выключения Сетевой изоляции компьютер может работать в сети без ограничений.

Как задать период выключения Сетевой изоляции компьютера в ручном режиме

Как вручную выключить Сетевую изоляцию компьютера

Вы также можете выключить Сетевую изоляцию локально из командной строки.

Исключения из Сетевой изоляции

Вы можете задать исключения из Сетевой изоляции. Сетевые соединения, подпадающие под заданные правила, не будут заблокированы на компьютере после включения Сетевой изоляции.

Для настройки исключений из Сетевой изоляции в приложении доступен список стандартных сетевых профилей. По умолчанию в исключения входят сетевые профили, состоящие из правил, обеспечивающих бесперебойную работу устройств с ролями DNS/DHCP-сервер и DNS/DHCP-клиент. Также вы можете изменить параметры стандартных сетевых профилей или задать исключения вручную (см. инструкцию ниже).

Исключения, заданные в свойствах политики, применяются, только если Сетевая изоляция включена приложением автоматически, в результате реагирования на обнаружение угрозы. Исключения, заданные в свойствах компьютера, применяются, только если Сетевая изоляция включена вручную в свойствах компьютера в консоли Kaspersky Security Center или в деталях обнаружения.

Активная политика не блокирует применение исключений из Сетевой изоляции, заданных в свойствах компьютера, так как сценарии применения этих параметров разные.

Как добавить исключение из Сетевой изоляции в автоматическом режиме

Как добавить исключение из Сетевой изоляции в ручном режиме

Вы также можете просмотреть список исключений из Сетевой изоляции локально из командной строки. При этом компьютер должен быть изолирован.

Cloud Sandbox

Cloud Sandbox – технология, позволяет обнаруживать сложные угрозы на компьютере. Kaspersky Endpoint Security автоматически отправляет подозрительные файлы в Cloud Sandbox для анализа. Cloud Sandbox запускает эти файлы в изолированной среде для выявления вредоносной активности и принимает решение о репутации этих файлов. Далее данные об этих файлах попадают в Kaspersky Security Network. Таким образом, если Cloud Sandbox обнаружил вредоносный файл, Kaspersky Endpoint Security выполнит действие для устранения угрозы на всех компьютерах, на которых обнаружит этот файл.

Для работы Cloud Sandbox необходимо включить использование Kaspersky Security Network.

Если вы используете Kaspersky Private Security Network, технология Cloud Sandbox недоступна.

Технология Cloud Sandbox включена постоянно и доступна всем пользователям Kaspersky Security Network независимо от типа лицензии, которую вы используете. Если у вас развернуто решение Endpoint Detection and Response Optimum, вы можете включить отдельный счетчик для угроз, обнаруженных с помощью Cloud Sandbox. Вы можете использовать этот счетчик для составления статистики при анализе обнаруженных угроз.

Чтобы включить счетчик Cloud Sandbox, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.

   Откроется окно свойств политики.

3. Выберите закладку Параметры программы.
4. Перейдите в раздел Detection and Response → Endpoint Detection and Response.
5. Включите переключатель Cloud Sandbox.
6. Сохраните внесенные изменения.

В результате угрозы Kaspersky Endpoint Security включит счетчик угроз, обнаруженных с помощью Cloud Sandbox, в главном окне приложения в разделе Технологии обнаружения угроз. Также Kaspersky Endpoint Security будет указывать технологию обнаружения угроз Cloud Sandbox в Отчете об угрозах в консоли Kaspersky Security Center.

Приложение 1. Поддерживаемые расширения файлов для Запрета запуска объектов

Kaspersky Endpoint Security поддерживает запрет открытия файлов офисного формата через определенные приложения. Информация о поддерживаемых расширениях имен файлов и приложений приведена в следующей таблице.

Поддерживаемые расширения файлов для Запрета запуска объектов

Приложение 2. Поддерживаемые интерпретаторы скриптов

Запрет запуска объектов поддерживает следующие интерпретаторы скриптов:

• AutoHotkey.exe
• AutoHotkeyA32.exe
• AutoHotkeyA64.exe
• AutoHotkeyU32.exe
• AutoHotkeyU64.exe
• InstallUtil.exe
• RegAsm.exe
• RegSvcs.exe
• autoit.exe
• cmd.exe
• control.exe
• cscript.exe
• hh.exe
• mmc.exe
• msbuild.exe
• mshta.exe
• msiexec.exe
• perl.exe
• powershell.exe
• python.exe
• reg.exe
• regedit.exe
• regedt32.exe
• regsvr32.exe
• ruby.exe
• rubyw.exe
• rundll32.exe
• runlegacycplelevated.exe
• wscript.exe
• wwahost.exe

Запрет запуска объектов поддерживает работу с Java-приложениями в среде выполнения Java (процессы java.exe и javaw.exe).

Приложение 3. Область поиска IOC в реестре (RegistryItem)

При добавлении типа данных RegistryItem в область поиска IOC, Kaspersky Endpoint Security анализирует следующие разделы реестра:

HKEY_CLASSES_ROOT\htafile

HKEY_CLASSES_ROOT\batfile

HKEY_CLASSES_ROOT\exefile

HKEY_CLASSES_ROOT\comfile

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print\Monitors

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\NetworkProvider

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Class

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services

HKEY_LOCAL_MACHINE\Software\Classes\piffile

HKEY_LOCAL_MACHINE\Software\Classes\htafile

HKEY_LOCAL_MACHINE\Software\Classes\exefile

HKEY_LOCAL_MACHINE\Software\Classes\comfile

HKEY_LOCAL_MACHINE\Software\Classes\CLSID

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Aedebug

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Приложение 4. Требования к IOC-файлам

При создании задач поиска IOC учитывайте следующие требования и ограничения, связанные с

• Приложение поддерживает IOC-файлы с расширением ioc и xml открытого стандарта описания индикаторов компрометации OpenIOC версий 1.0 и 1.1.
• Если при создании задачи Поиск IOC из командной строки вы загрузите IOC-файлы, часть из которых не поддерживается, то при запуске задачи приложение будет использовать только поддерживаемые IOC-файлы. Если при создании задачи Поиск IOC из командной строки все загруженные вами IOC-файлы не поддерживаются, то задача может быть запущена, но в результате выполнения задачи не будут обнаружены индикаторы компрометации. Загрузить IOC-файлы, которые не поддерживаются, в Web Console или Cloud Console невозможно.
• Семантические ошибки и неподдерживаемые IOC-термины и теги в IOC-файлах не приводят к ошибкам выполнения задачи. На таких участках IOC-файлов приложение фиксирует отсутствие совпадения.
• Идентификаторы всех IOC-файлов

  Пример идентификатора IOC-файла:

  <ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" id="43e6a866-4f85-4ce2-a369-eabf786ba711" last-modified="2019-05-09T11:08:38" xmlns="http://schemas.mandiant.com/2010/ioc">

  , которые используются в одной задаче поиска IOC, должны быть уникальными. Наличие IOC-файлов с одинаковыми идентификаторами может повлиять на корректность результатов выполнения задачи.
• Размер одного IOC-файла не должен превышать 2 МБ. Использование файлов большего размера приводит к завершению задач поиска IOC с ошибкой. Суммарный размер всех добавляемых файлов в IOC-коллекции не должен превышать 10 МБ. Если размер всех файлов превышает 10 МБ, вам нужно разделить IOC-коллекцию и создать несколько задач Поиск IOC.
• Рекомендуется создавать на каждую угрозу по одному IOC-файлу. Это облегчает чтение результатов задачи поиска IOC.

В файле, который можно загрузить по ссылке ниже, приведена таблица с полным списком IOC-терминов стандарта OpenIOC.

ЗАГРУЗИТЬ ФАЙЛ IOC_TERMS.XLSX

Особенности и ограничения поддержки стандарта OpenIOC приложением приведены в следующей таблице.

Особенности и ограничения поддержки стандарта OpenIOC версий 1.0 и 1.1.

Kaspersky Sandbox

Для решения Kaspersky Sandbox предусмотрены следующие конфигурации:

Kaspersky Sandbox 2.0

Kaspersky Sandbox 2.0 поддерживает конфигурацию [KES+встроенный агент].

Минимальные требования:

• Kaspersky Endpoint Security для Windows 11.7.0 и выше.
• Kaspersky Endpoint Agent не требуется.
• Kaspersky Security Center 13.2.

Kaspersky Sandbox 1.0

Kaspersky Sandbox 1.0 поддерживает конфигурацию [KES+KEA].

Минимальные требования:

• Kaspersky Endpoint Security для Windows 11.2.0 – 11.6.0.
• Kaspersky Endpoint Agent 3.8.

  Вы можете установить Kaspersky Endpoint Agent из дистрибутива Kaspersky Endpoint Security для Windows.

• Kaspersky Security Center 11.

Интеграция с Kaspersky Sandbox

Для интеграции с Kaspersky Sandbox вам нужно добавить компонент Kaspersky Sandbox. Вы можете выбрать компонент Kaspersky Sandbox во время установки или обновления приложения, а также с помощью задачи Изменение состава компонентов приложения.

Для работы компонента должны быть выполнены следующие условия:

• Kaspersky Security Center версии 13.2. В более ранних версиях Kaspersky Security Center недоступно создание автономных задач поиска IOC при реагировании на угрозы.
• Управление компонентом доступно только в Web Console. Управлять компонентом в Консоли администрирования (MMC) невозможно.
• Приложение активировано и функциональность входит в лицензию.
• Передача данных на Сервер администрирования включена.

  Для работы всех функций Kaspersky Sandbox должна быть включена передача данных о файлах карантина. Данные нужны для получения информации о помещенных на компьютере файлах на карантин в Web Console. В Web Console вы можете, например, загрузить файл из карантина на компьютер для анализа.

  Как включить передачу данных на Сервер администрирования в Web Console

  1. В главном окне Web Console выберите Устройства → Политики и профили политик.
  2. Нажмите на название политики Kaspersky Endpoint Security.

     Откроется окно свойств политики.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Общие настройки → Отчеты и хранилище.
  5. В блоке Передача данных на Сервер администрирования установите флажок О файлах карантина.
  6. Сохраните внесенные изменения.
• Установлено фоновое соединение между Kaspersky Security Center Web Console и Сервером администрирования

  Для работы Kaspersky Sandbox c Сервером администрирования через Kaspersky Security Center Web Console вам нужно установить новое безопасное соединение – фоновое соединение. Подробнее об интеграции Kaspersky Security Center с другими решениями "Лаборатории Касперского" см. в справке Kaspersky Security Center.

  Как установить фоновое соединение в Web Console

  1. В главном окне Web Console выберите Параметры консоли → Интеграция.
  2. Перейдите в раздел Межсервисная интеграция.
  3. Включите переключатель Установить фоновое соединение для межсервисной интеграции.
  4. Сохраните внесенные изменения.

  Если фоновое соединение между Kaspersky Security Center Web Console и Сервером администрирования отсутствует, создание автономных задач поиска IOC при реагировании на угрозы недоступно.

• Компонент Kaspersky Sandbox включен.

  Вы можете включать и выключать интеграцию с Kaspersky Sandbox в Web Console или локально из командной строки.

Чтобы включить или выключить интеграцию с Kaspersky Sandbox, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.

   Откроется окно свойств политики.

3. Выберите закладку Параметры программы.
4. Перейдите в раздел Detection and Response → Kaspersky Sandbox.
5. Используйте переключатель Интеграция с Kaspersky Sandbox, чтобы включить или выключить компонент.
6. Сохраните внесенные изменения.

В результате компонент Kaspersky Sandbox будет включен. Проверьте статус работы компонента с помощью отчета Отчет о статусе компонентов программы. Также вы можете посмотреть статус работы компонента в локальном интерфейсе Kaspersky Endpoint Security в отчетах. В список компонентов Kaspersky Endpoint Security будет добавлен компонент Kaspersky Sandbox.

Kaspersky Endpoint Security сохраняет информацию о работе компонента Kaspersky Sandbox в отчет. Отчет также содержит информацию об ошибках. Если вы получили ошибку с описанием в формате Error code: XXX (например, 0xa67b01f4), вам нужно обратиться в Службу технической поддержки.

Миграция из Kaspersky Endpoint Agent

Если вы используете Kaspersky Endpoint Security 11.7.0 и выше с установленным компонентом Kaspersky Sandbox (встроенный агент), поддержка взаимодействия с решением Kaspersky Sandbox доступна сразу после установки. Компонент Kaspersky Sandbox несовместим с приложением Kaspersky Endpoint Agent. Если на компьютере установлено приложение Kaspersky Endpoint Agent, при обновлении Kaspersky Endpoint Security до версии 11.7.0 решение Kaspersky Sandbox продолжит работу с Kaspersky Endpoint Security (миграция конфигурации [KES+KEA] на [KES+встроенный агент]). Также Kaspersky Endpoint Agent будет удален с компьютера. Для завершения миграции из Kaspersky Endpoint Agent на Kaspersky Endpoint Security для Windows вам нужно перенести параметры политик и задач с помощью мастера миграции.

Если вы используете Kaspersky Endpoint Security 11.4.0-11.6.0, для взаимодействия с Kaspersky Sandbox в состав приложения включено приложение Kaspersky Endpoint Agent. Вы можете установить Kaspersky Endpoint Agent совместно с Kaspersky Endpoint Security.

В Kaspersky Endpoint Security 11.9.0 дистрибутив приложения Kaspersky Endpoint Agent исключен из комплекта поставки Kaspersky Endpoint Security. Вам нужно загрузить дистрибутив Kaspersky Endpoint Agent отдельно.

Компонент Kaspersky Sandbox в составе Kaspersky Endpoint Security поддерживает работу с решением Kaspersky Sandbox версии 2.0. Работа с решением Kaspersky Sandbox версии 1.0 не поддерживается.

Добавление TLS-сертификата

Для настройки доверенного соединения с серверами Kaspersky Sandbox вам нужно подготовить TLS-сертификат. Далее вам нужно добавить сертификат на серверы Kaspersky Sandbox и в политике Kaspersky Endpoint Security. Подробнее о подготовке сертификата и добавлении сертификата на серверы см. в справке Kaspersky Sandbox.

Вы можете добавить TLS-сертификат в Web Console или локально из командной строки.

Чтобы добавить TLS-сертификат в Web Console, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.

   Откроется окно свойств политики.

3. Выберите закладку Параметры программы.
4. Перейдите в раздел Detection and Response → Kaspersky Sandbox.
5. Перейдите по ссылке Настройки подключения к серверам.

   Откроется окно с параметрами подключения к серверам Kaspersky Sandbox.

6. В блоке TLS-сертификат серверов нажмите на кнопку Добавить и выберите файл TLS-сертификата.

   В Kaspersky Endpoint Security может быть только один TLS-сертификат сервера Kaspersky Sandbox. Если вы ранее уже добавили TLS-сертификат, то этот сертификат прекращает действовать. Только последний добавленный сертификат будет актуальным.

7. Настройте дополнительные параметры подключения к серверам Kaspersky Sandbox:
   • Время ожидания. Время ожидания соединения с сервером Kaspersky Sandbox. По истечению заданного времени ожидания Kaspersky Endpoint Security отправит запрос на следующий сервер. Вы можете увеличить время ожидания соединения с Kaspersky Sandbox, если у вас низкая скорость соединения или соединение нестабильно. Рекомендованное значение времени ожидания запроса не более 0,5 сек.
   • Очередь запросов Kaspersky Sandbox. Размер папки хранения очереди запросов. При обращении к объекту (запуск исполняемого файла или открытие документа, например, в формате DOCX или PDF) на компьютере Kaspersky Endpoint Security может отправить объект на дополнительную проверку в Kaspersky Sandbox. Если запросов несколько, Kaspersky Endpoint Security создает очередь запросов. По умолчанию размер папки хранения очереди запросов ограничен 100 МБ. После достижения максимального размера Kaspersky Sandbox перестает добавлять новые запросы в очередь и отправляет соответствующее событие в Kaspersky Security Center. Вы можете настроить размер папки хранения очереди запросов в зависимости от конфигурации сервера.
8. Сохраните внесенные изменения.

В результате Kaspersky Endpoint Security проверит TLS-сертификат. Если сертификат прошел проверку, Kaspersky Endpoint Security отправит файл сертификата на компьютер при следующей синхронизации с Kaspersky Security Center. Если вы добавили два TLS-сертификата, Kaspersky Sandbox использует последний сертификат для установки доверенного соединения.

Добавление серверов Kaspersky Sandbox

Для подключения компьютеров к серверам Kaspersky Sandbox с виртуальными образами операционных систем вам нужно ввести адрес сервера и порт. Подробнее о развертывании виртуальных образов и конфигурации серверов Kaspersky Sandbox см. в справке Kaspersky Sandbox.

Чтобы добавить серверы Kaspersky Sandbox в Web Console, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.

   Откроется окно свойств политики.

3. Выберите закладку Параметры программы.
4. Перейдите в раздел Detection and Response → Kaspersky Sandbox.
5. В блоке Серверы Kaspersky Sandbox нажмите на кнопку Добавить.
6. В открывшемся окне введите адрес сервера Kaspersky Sandbox (IPv4, IPv6, DNS), а также порт подключения к серверу.
7. Сохраните внесенные изменения.

Поиск индикаторов компрометации (автономная задача)

Индикатор компрометации (Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к компьютеру (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему. Задача Поиск IOC позволяет обнаруживать индикаторы компрометации на компьютере и выполнять действия по реагированию на угрозы.

Для поиска индикаторов компрометации Kaspersky Endpoint Security использует IOC-файлы. IOC-файлы – файлы, содержащие набор индикаторов, при совпадении с которыми приложение считает событие обнаружением. IOC-файлы должны соответствовать стандарту описания OpenIOC. Kaspersky Endpoint Security автоматические формирует IOC-файлы для работы Kaspersky Sandbox.

Режим запуска задачи Поиск IOC

Для работы Kaspersky Sandbox приложение создает автономные задачи поиска IOC. Автономная задача поиска IOC – групповая задача, которая создается автоматически при реагировании на угрозу, обнаруженную Kaspersky Sandbox. Kaspersky Endpoint Security автоматически формирует IOC-файл. Работа пользователя с IOC-файлами не предусмотрена. Задачи автоматически удаляются через 30 дней с момента создания. Подробнее об автономных задачах поиска IOC см. в справке Kaspersky Sandbox.

Настройка задачи Поиск IOC

При реагировании на угрозы Kaspersky Sandbox автоматически создает и запускает задачи Поиск IOC.

Вы можете настроить параметры задачи только в Web Console.

Для работы с автономными задачами поиска IOC требуется Kaspersky Security Center версии 13.2.

Чтобы изменить параметры задачи Поиск IOC, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Задачи.

   Откроется список задач.

2. Нажмите на задачу Kaspersky Endpoint Security Поиск IOC.

   Откроется окно свойств задачи.

3. Выберите закладку Параметры программы.
4. Перейдите в раздел Настройки поиска IOC.
5. Настройте действия при обнаружении индикатора компрометации:
   • Копию поместить на карантин, объект удалить. Если выбран этот вариант действия, то Kaspersky Endpoint Security удаляет вредоносный объект, обнаруженный на компьютере. Перед удалением объекта Kaspersky Endpoint Security формирует его резервную копию на тот случай, если впоследствии понадобится восстановить объект. Kaspersky Endpoint Security помещает резервную копию на карантин.
   • Запускать проверку важных областей. Если выбран этот вариант действия, то Kaspersky Endpoint Security запускает задачу Проверка важных областей. По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы.
6. Настройте режим запуска задачи поиска IOC с помощью флажка Выполнять только во время простоя компьютера. Флажок включает / выключает функцию, которая приостанавливает задачу Поиск IOC, если ресурсы компьютера заняты. Kaspersky Endpoint Security приостанавливает задачу Поиск IOC, если не включена экранная заставка и разблокирован компьютер.

   Этот вариант расписания позволяет экономить вычислительную мощность компьютера во время работы.

7. Сохраните внесенные изменения.

Вы можете просмотреть результаты выполнения задачи в свойствах задачи в разделе Результаты. Информацию об обнаруженных индикаторах компрометации вы можете посмотреть в свойствах задачи Параметры программы → Результаты поиска IOC.

Срок хранения результатов поиска IOC составляет 30 дней. По истечении этого времени Kaspersky Endpoint Security автоматически удаляет старые записи.

Kaspersky Anti Targeted Attack Platform (KATA EDR)

Kaspersky Endpoint Detection and Response использует следующие средства анализа угроз (Threat Intelligence):

• Инфраструктура облачных служб Kaspersky Security Network (далее также "KSN"), предоставляющую доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции приложений "Лаборатории Касперского" на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний.
• Интеграция с платформой Kaspersky Threat Intelligence Portal, которая содержит и отображает информацию о репутации файлов и веб-адресов.
• База угроз "Лаборатории Касперского" Kaspersky Threats.

Принцип работы решения

Приложение Kaspersky Endpoint Agent устанавливается на отдельных компьютерах, входящих в IT-инфраструктуру организации, и осуществляет постоянное наблюдение за процессами, открытыми сетевыми соединениями и изменяемыми файлами. Данные о событиях на компьютере отправляются на сервер Kaspersky Anti Targeted Attack Platform.

Приложение Kaspersky Endpoint Agent может интегрироваться с Kaspersky Endpoint Security для Windows. В этом случае приложение Kaspersky Endpoint Agent также передает на сервер Kaspersky Anti Targeted Attack Platform данные об угрозах, обнаруженных приложением Kaspersky Endpoint Security для Windows, и данные о результатах обработки этих угроз.

Интеграция с KATA EDR

Для интеграции с KATA EDR вам нужно добавить компонент Kaspersky Anti Targeted Attack Platform (KATA EDR) и установить Kaspersky Endpoint Agent. Вы можете выбрать компонент KATA EDR во время установки или обновления приложения, а также с помощью задачи Изменение состава компонентов приложения.

Компонент KATA EDR несовместим с компонентами EDR Optimum и EDR Expert.

В Kaspersky Endpoint Security версии 11.9.0 из комплекта поставки приложения исключен дистрибутив Kaspersky Endpoint Agent. Вы можете загрузить дистрибутив Kaspersky Endpoint Agent из комплекта поставки Kaspersky Anti Targeted Attack Platform.

KATA EDR использует данные полученные от компонентов приложения. Работу KATA EDR обеспечивают следующие компоненты:

• Защита от файловых угроз.
• Защита от веб-угроз.
• Защита от почтовых угроз.
• Защита от эксплойтов.
• Анализ поведения.
• Предотвращение вторжений.
• Откат вредоносных действий.
• Адаптивный контроль аномалий.

Убедитесь, что эти компоненты включены и работают.

Работа с карантином

Карантин – это специальное локальное хранилище на компьютере. Пользователь может поместить на карантин файлы, которые считает опасными для компьютера. Файлы на карантине хранятся в зашифрованном виде и не угрожают безопасности устройства. Kaspersky Endpoint Security использует карантин только при работе с решениями Kaspersky Sandbox и Kaspersky Endpoint Detection and Response. В остальных случаях Kaspersky Endpoint Security помещает файл в резервное хранилище. Подробнее о работе с карантином в составе решений см. в справке Kaspersky Sandbox, Kaspersky Endpoint Detection and Response Optimum, Kaspersky Endpoint Detection and Response Expert.

Kaspersky Endpoint Security помещает файлы на карантин под системной учетной записью (SYSTEM).

Вы можете настроить параметры карантина только в Web Console. Также в Web Console вы можете выполнить действия с объектами на карантине (восстановить, удалить, добавить и другие). Локально на компьютере вы можете только восстановить объект из командной строки.

Настройка максимального размера карантина

По умолчанию размер карантина ограничен 200 МБ. После достижения максимального размера Kaspersky Endpoint Security автоматически удаляет наиболее старые файлы из карантина.

Чтобы настроить максимальный размер карантина, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.

   Откроется окно свойств политики.

3. Выберите закладку Параметры программы.
4. Перейдите в раздел Общие настройки → Отчеты и хранилище.
5. В блоке Карантин настройте размер карантина:
   • Ограничить размер карантина до N МБ. Максимальный размер карантина в МБ. Например, вы можете задать максимальный размер карантина 200 МБ. При достижении максимального размера карантина Kaspersky Endpoint Security отправляет соответствующее событие в Kaspersky Security Center и публикует событие в Журнале событий Windows. При этом приложение прекращает помещать новые объекты на карантин. Вам нужно вручную очистить карантин.
   • Уведомлять при заполнении карантина на N процентов. Пороговое значение карантина. Например, вы можете задать пороговое значение карантина 50 %. При достижении порогового значения карантина, Kaspersky Endpoint Security отправляет соответствующее событие в Kaspersky Security Center и публикует событие в Журнале событий Windows. При этом приложение продолжает помещать новые объекты на карантин.
6. Сохраните внесенные изменения.

Передача данных о файлах на карантине в Kaspersky Security Center

Для выполнения действий с объектами на карантине в Web Console вам нужно включить передачу данных на Сервер администрирования о файлах на карантине. В Web Console вы можете, например, загрузить файл из карантина на компьютер для анализа. Передача данных о файлах на карантине должна быть включена для работы всех функций решений Kaspersky Sandbox и Kaspersky Endpoint Detection and Response.

Чтобы включить передачу данных о файлах на карантине в Kaspersky Security Center, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.

   Откроется окно свойств политики.

3. Выберите закладку Параметры программы.
4. Перейдите в раздел Общие настройки → Отчеты и хранилище.
5. В блоке Передача данных на Сервер администрирования установите флажок О файлах карантина.
6. Сохраните внесенные изменения.

В результате вы можете в Web Console просматривать список файлов, помещенных на карантин на компьютере (Операции → Хранилища → Карантин). В Web Console вы можете выполнить действия с объектами на карантине (восстановить, удалить, добавить и другие).