Endpoint Detection and Response

Kaspersky Endpoint Security 11.7.0 verfügt jetzt über einen integrierten Agenten für die Lösung „Kaspersky Endpoint Detection and Response Optimum“ (im Folgenden auch „EDR Optimum“). Die Lösung Kaspersky Endpoint Detection and Response Optimum schützt die IT-Infrastruktur eines Unternehmens vor komplexen Cyberbedrohungen. Diese Lösung kombiniert die automatische Erkennung von Bedrohungen mit der Fähigkeit, auf diese Bedrohungen zu reagieren. Dadurch lassen sich komplexe Angriffen wie neue Exploits, Ransomware, dateilose Angriffe und Methoden mit legitimen Systemtools abwehren. Weitere Informationen zu dieser Lösung finden Sie in der Hilfe zu Kaspersky Endpoint Detection and Response Optimum. „Kaspersky Endpoint Detection and Response Optimum“ überprüft und analysiert, wie sich eine Bedrohung entwickelt, und versorgt die Sicherheitsabteilung oder den Administrator mit Informationen über den möglichen Angriff, um eine rechtzeitige Reaktion zu ermöglichen. Kaspersky Endpoint Detection and Response (EDR) zeigt Alarm-Details in einem separaten Fenster an. Alarm-Details ist ein Tool, mit dem alle über eine erkannte Bedrohung gesammelten Informationen angezeigt und die Reaktionen verwaltet werden können. Zu den Alarm-Details gehört beispielsweise der Verlauf der auf dem Computer angezeigten Dateien. Einzelheiten zur Verwaltung der Alarm-Details finden Sie in der Hilfe zu Kaspersky Endpoint Detection and Response Optimum.

Die Lösung verwendet die folgenden Threat Intelligence-Tools:

• Die Cloud-Service-Infrastruktur von Kaspersky Security Network (im Folgenden auch „KSN“ genannt), die Echtzeitzugriff auf Datei-, Website- und Software-Reputationsinformationen aus der Kaspersky-Wissensdatenbank bietet. Durch die Verwendung von Daten aus Kaspersky Security Network wird die Reaktion der Kaspersky-Programme auf Bedrohungen beschleunigt und die Leistungsfähigkeit bestimmter Schutzkomponenten erhöht. Außerdem verringert sich das Risiko von Fehlalarmen.
• Integration in das Kaspersky Private Security Network (im Folgenden auch „KPSN“ genannt). Dadurch können Benutzer auf die KSN-Reputationsdatenbank und andere statistische Daten zugreifen, ohne Daten von ihren Computern an KSN zu senden.
• Integration in das Informationssystem von „Kaspersky Threat Intelligence Portal“, das Informationen über die Reputation von Dateien und URLs enthält und anzeigt.
• „Kaspersky Threats“-Datenbank.

„Kaspersky Endpoint Detection and Response Optimum“ erfordert Kaspersky Security Center Version 13.2. Es ist nicht möglich, die Funktion „EDR Optimum“ in älteren Versionen von Kaspersky Security Center zu aktivieren.

Die Komponente kann nur über die „Web Console“ verwaltet werden. Sie können diese Komponente nicht mit der Verwaltungskonsole (MMC) verwalten.

Integration in „Kaspersky Endpoint Detection and Response Optimum“

Die Integration von „Kaspersky Endpoint Detection and Response Optimum“ umfasst die folgenden Schritte:

1. Installation der Komponente „Kaspersky Endpoint Detection and Response Optimum“

   Sie können die Komponente „Endpoint Detection and Response Optimum“ während der Installation oder dem Upgrade auswählen oder die Aufgabe Auswahl der Programmkomponenten ändern verwenden.

   Nachdem die Aufgabe Auswahl der Programmkomponenten ändern ausgeführt wurde, wird der Status der Aufgabe inkorrekt angezeigt. Anstelle von Erfolgreich abgeschlossen wird der Status Ausführung nach Zeitplan angezeigt. Die Aufgabe kann aber trotzdem erfolgreich abgeschlossen werden. Stellen Sie sicher, dass die neue Komponente installiert ist. Überprüfen Sie dies in den Computer-Eigenschaften der Kaspersky Security Center-Konsole (Programme → Kaspersky Endpoint Security für Windows → Komponenten) oder auf der lokalen Programmoberfläche.

2. Kaspersky Endpoint Detection and Response Optimum aktivieren

   Sie können eine Lizenz für Kaspersky Endpoint Detection and Response Optimum auf eine der folgenden Arten erwerben:

   • Die Funktion „EDR Optimum“ ist in der Lizenz für Kaspersky Endpoint Security für Windows enthalten.

     Die Funktion ist sofort nach der Aktivierung von Kaspersky Endpoint Security für Windows verfügbar.

   • Lizenzerweiterung für die Nutzung von EDR Optimum.

     Die Funktion wird verfügbar, sobald Sie einen separaten Schlüssel für Kaspersky Endpoint Detection and Response hinzufügen. Als Folge werden zwei Schlüssel auf dem Computer installiert: ein Schlüssel für Kaspersky Endpoint Security und ein Schlüssel für Kaspersky Endpoint Detection and Response Optimum.

     Die Lizenzierung der individuellen Funktion „EDR Optimum“ unterscheidet sich nicht von der Lizenzierung von Kaspersky Endpoint Security.

   Stellen Sie sicher, dass die Funktion „EDR Optimum“ in der Lizenz enthalten ist und in der lokalen Programmoberfläche ausgeführt wird.

3. Aktivieren der Komponente „Endpoint Detection and Response Optimum“

   Sie können die Komponente in den Richtlinieneinstellungen für Kaspersky Endpoint Security für Windows aktivieren oder deaktivieren.

   Um die Komponente zu verwenden, müssen folgende Bedingungen erfüllt sein:

   • Das Programm ist aktiviert und die Funktionalität von „Kaspersky Endpoint Detection and Response Optimum“ ist durch die Lizenz abgedeckt.
   • Die Komponente „Endpoint Detection and Response Optimum“ ist aktiviert.
   • Die Programmkomponenten, von denen „Endpoint Detection and Response Optimum“ abhängt, sind aktiviert und betriebsbereit. Die Komponente ist von folgenden Komponenten abhängig:
     • Schutz vor bedrohlichen Dateien.
     • Schutz vor Web-Bedrohungen.
     • Schutz vor E-Mail-Bedrohungen.
     • Exploit-Prävention.
     • Verhaltensanalyse.
     • Programm-Überwachung.
     • Rollback von schädlichen Aktionen.
     • Adaptive Kontrolle von Anomalien.

   So aktivieren oder deaktivieren Sie die Komponente „Endpoint Detection and Response Optimum“ über die „Web Console“

   1. Wählen Sie im Hauptfenster der „Web Console“ den Punkt Geräte → Richtlinien und Profile.
   2. Klicken Sie auf den Namen der Richtlinie von Kaspersky Endpoint Security.

      Das Fenster mit den Richtlinieneigenschaften wird geöffnet.

   3. Wählen Sie die Registerkarte Programmeinstellungen aus.
   4. Wählen Sie Detection and Response → Endpoint Detection and Response Optimum.
   5. Aktivieren Sie den Schalter Endpoint Detection and Response Optimum.
   6. Speichern Sie die vorgenommenen Änderungen.

   Die Komponente „Kaspersky Endpoint Detection and Response Optimum“ ist nun aktiviert. Überprüfen Sie den Betriebsstatus der Komponente, indem Sie sich den Bericht über den Status der Programmkomponenten ansehen. Sie können sich den Betriebsstatus einer Komponente auch in den Berichten in der lokalen Benutzeroberfläche von Kaspersky Endpoint Security ansehen. Die Komponente Endpoint Detection and Response Optimum wird zur Liste der Kaspersky Endpoint Security-Komponenten hinzugefügt.

4. Datenübertragung zum Administrationsserver aktivieren

   Um alle Funktionen von EDR Optimum zu aktivieren, muss die Übertragung für folgende Datentypen aktiviert sein:

   • Daten zu Quarantänedateien.

     Diese Daten sind erforderlich, um via Web Console Informationen zu Dateien abzurufen, die sich auf dem Computer in der Quarantäne befinden. So können Sie z. B. in Web Console eine Datei aus der Quarantäne zur Analyse herunterladen.

   • Daten zur Entwicklungskette der Bedrohung.

     Diese Daten sind erforderlich, um via Web Console Informationen zu den Bedrohungen abzurufen, die auf dem Computer gefunden wurden. In Web Console können Sie Details zu den Warnungen ansehen und auf diese reagieren.

   So aktivieren Sie die Datenübertragung zum Administrationsserver in Web Console

   1. Wählen Sie im Hauptfenster der „Web Console“ den Punkt Geräte → Richtlinien und Profile.
   2. Klicken Sie auf den Namen der Richtlinie von Kaspersky Endpoint Security.

      Das Fenster mit den Richtlinieneigenschaften wird geöffnet.

   3. Wählen Sie die Registerkarte Programmeinstellungen aus.
   4. Wählen Sie die Option Allgemeine Einstellungen → Berichte und Speicher aus.
   5. Aktivieren Sie die folgenden Kontrollkästchen unterhalb von Datenübertragung zum Administrationsserver:
      • Über Quarantänedateien
      • Über eine Bedrohungsentwicklungskette
   6. Speichern Sie die vorgenommenen Änderungen.

Migration von Kaspersky Endpoint Agent zu Kaspersky Endpoint Security für Windows

Wenn Sie Kaspersky Endpoint Security 11.7.0 oder höher zusammen mit der installierten Komponente „EDR Optimum“ (integrierter Agent) verwenden, müssen Sie nichts weiter tun, damit die Lösung „Kaspersky Endpoint Detection and Response Optimum“ funktioniert. Die Komponente „EDR Optimum“ ist nicht mit Kaspersky Endpoint Agent kompatibel. Wenn Kaspersky Endpoint Agent auf dem Computer installiert ist und Kaspersky Endpoint Security auf Version 11.7.0 aktualisiert wird, funktioniert „Kaspersky Endpoint Detection and Response Optimum“ weiterhin mit Kaspersky Endpoint Security. Außerdem wird Kaspersky Endpoint Agent vom Computer entfernt. Um die Migration von Kaspersky Endpoint Agent zu Kaspersky Endpoint Security für Windows abzuschließen, müssen Sie die Richtlinien- und Aufgabeneinstellungen mithilfe des Migrations-Assistenten übertragen.

Wenn Sie Kaspersky Endpoint Security 11.4.0–11.6.0 für die Interoperabilität mit „Kaspersky Endpoint Detection and Response Optimum“ verwenden, ist Kaspersky Endpoint Agent in der Anwendung enthalten. Sie können Kaspersky Endpoint Agent gleichzeitig mit Kaspersky Endpoint Security installieren.

Die Komponente „EDR Optimum“ unterstützt als Teil von Kaspersky Endpoint Security die Interaktion mit der Lösung „Kaspersky Endpoint Detection and Response Optimum 2.0“. Die Interaktion mit „Kaspersky Endpoint Detection and Response Optimum“ Version 1.0 wird nicht unterstützt.

In diesem Abschnitt Untersuchung auf Kompromittierungsindikatoren (IOC) Datei in die Quarantäne verschieben Datei anfordern Datei löschen Prozess-Start Prozess beenden Ausführungsprävention Isolation des Computernetzwerks

Nach oben