Endpoint Detection and Response

Kaspersky Endpoint Security 11.7.0 verfügt jetzt über einen integrierten Agenten für die Lösung „Kaspersky Endpoint Detection and Response Optimum“ (im Folgenden auch „EDR Optimum“). Die Lösung Kaspersky Endpoint Detection and Response Optimum schützt die IT-Infrastruktur eines Unternehmens vor komplexen Cyberbedrohungen. Diese Lösung kombiniert die automatische Erkennung von Bedrohungen mit der Fähigkeit, auf diese Bedrohungen zu reagieren. Dadurch lassen sich komplexe Angriffen wie neue Exploits, Ransomware, dateilose Angriffe und Methoden mit legitimen Systemtools abwehren. Weitere Informationen zu dieser Lösung finden Sie in der Hilfe zu Kaspersky Endpoint Detection and Response Optimum.

„Kaspersky Endpoint Detection and Response Optimum“ überprüft und analysiert, wie sich eine Bedrohung entwickelt, und versorgt die Sicherheitsabteilung oder den Administrator mit Informationen über den möglichen Angriff, um eine rechtzeitige Reaktion zu ermöglichen. Kaspersky Endpoint Detection and Response (EDR) zeigt Alarm-Details in einem separaten Fenster an. Alarm-Details ist ein Tool, mit dem alle über eine erkannte Bedrohung gesammelten Informationen angezeigt und die Reaktionen verwaltet werden können. Zu den Alarm-Details gehört beispielsweise der Verlauf der auf dem Computer angezeigten Dateien. Einzelheiten zur Verwaltung der Alarm-Details finden Sie in der Hilfe zu Kaspersky Endpoint Detection and Response Optimum.

Die Lösung verwendet die folgenden Threat Intelligence-Tools:

„Kaspersky Endpoint Detection and Response Optimum“ erfordert Kaspersky Security Center Version 13.2. Es ist nicht möglich, die Funktion „EDR Optimum“ in älteren Versionen von Kaspersky Security Center zu aktivieren.

Die Komponente kann nur über die „Web Console“ verwaltet werden. Sie können diese Komponente nicht mit der Verwaltungskonsole (MMC) verwalten.

Integration in „Kaspersky Endpoint Detection and Response Optimum“

Die Integration von „Kaspersky Endpoint Detection and Response Optimum“ umfasst die folgenden Schritte:

  1. Installation der Komponente „Kaspersky Endpoint Detection and Response Optimum“

    Sie können die Komponente „Endpoint Detection and Response Optimum“ während der Installation oder dem Upgrade auswählen oder die Aufgabe Auswahl der Programmkomponenten ändern verwenden.

    Nachdem die Aufgabe Auswahl der Programmkomponenten ändern ausgeführt wurde, wird der Status der Aufgabe inkorrekt angezeigt. Anstelle von Erfolgreich abgeschlossen wird der Status Ausführung nach Zeitplan angezeigt. Die Aufgabe kann aber trotzdem erfolgreich abgeschlossen werden. Stellen Sie sicher, dass die neue Komponente installiert ist. Überprüfen Sie dies in den Computer-Eigenschaften der Kaspersky Security Center-Konsole (ProgrammeKaspersky Endpoint Security für WindowsKomponenten) oder auf der lokalen Programmoberfläche.

  2. Kaspersky Endpoint Detection and Response Optimum aktivieren

    Sie können eine Lizenz für Kaspersky Endpoint Detection and Response Optimum auf eine der folgenden Arten erwerben:

    • Die Funktion „EDR Optimum“ ist in der Lizenz für Kaspersky Endpoint Security für Windows enthalten.

      Die Funktion ist sofort nach der Aktivierung von Kaspersky Endpoint Security für Windows verfügbar.

    • Lizenzerweiterung für die Nutzung von EDR Optimum.

      Die Funktion wird verfügbar, sobald Sie einen separaten Schlüssel für Kaspersky Endpoint Detection and Response hinzufügen. Als Folge werden zwei Schlüssel auf dem Computer installiert: ein Schlüssel für Kaspersky Endpoint Security und ein Schlüssel für Kaspersky Endpoint Detection and Response Optimum.

      Die Lizenzierung der individuellen Funktion „EDR Optimum“ unterscheidet sich nicht von der Lizenzierung von Kaspersky Endpoint Security.

    Stellen Sie sicher, dass die Funktion „EDR Optimum“ in der Lizenz enthalten ist und in der lokalen Programmoberfläche ausgeführt wird.

  3. Aktivieren der Komponente „Endpoint Detection and Response Optimum“

    Sie können die Komponente in den Richtlinieneinstellungen für Kaspersky Endpoint Security für Windows aktivieren oder deaktivieren.

    Um die Komponente zu verwenden, müssen folgende Bedingungen erfüllt sein:

    So aktivieren oder deaktivieren Sie die Komponente „Endpoint Detection and Response Optimum“ über die „Web Console“

    Die Komponente „Kaspersky Endpoint Detection and Response Optimum“ ist nun aktiviert. Überprüfen Sie den Betriebsstatus der Komponente, indem Sie sich den Bericht über den Status der Programmkomponenten ansehen. Sie können sich den Betriebsstatus einer Komponente auch in den Berichten in der lokalen Benutzeroberfläche von Kaspersky Endpoint Security ansehen. Die Komponente Endpoint Detection and Response Optimum wird zur Liste der Kaspersky Endpoint Security-Komponenten hinzugefügt.

  4. Datenübertragung zum Administrationsserver aktivieren

    Um alle Funktionen von EDR Optimum zu aktivieren, muss die Übertragung für folgende Datentypen aktiviert sein:

    • Daten zu Quarantänedateien.

      Diese Daten sind erforderlich, um via Web Console Informationen zu Dateien abzurufen, die sich auf dem Computer in der Quarantäne befinden. So können Sie z. B. in Web Console eine Datei aus der Quarantäne zur Analyse herunterladen.

    • Daten zur Entwicklungskette der Bedrohung.

      Diese Daten sind erforderlich, um via Web Console Informationen zu den Bedrohungen abzurufen, die auf dem Computer gefunden wurden. In Web Console können Sie Details zu den Warnungen ansehen und auf diese reagieren.

    So aktivieren Sie die Datenübertragung zum Administrationsserver in Web Console

Migration von Kaspersky Endpoint Agent zu Kaspersky Endpoint Security für Windows

Wenn Sie Kaspersky Endpoint Security 11.7.0 oder höher zusammen mit der installierten Komponente „EDR Optimum“ (integrierter Agent) verwenden, müssen Sie nichts weiter tun, damit die Lösung „Kaspersky Endpoint Detection and Response Optimum“ funktioniert. Die Komponente „EDR Optimum“ ist nicht mit Kaspersky Endpoint Agent kompatibel. Wenn Kaspersky Endpoint Agent auf dem Computer installiert ist und Kaspersky Endpoint Security auf Version 11.7.0 aktualisiert wird, funktioniert „Kaspersky Endpoint Detection and Response Optimum“ weiterhin mit Kaspersky Endpoint Security. Außerdem wird Kaspersky Endpoint Agent vom Computer entfernt. Um die Migration von Kaspersky Endpoint Agent zu Kaspersky Endpoint Security für Windows abzuschließen, müssen Sie die Richtlinien- und Aufgabeneinstellungen mithilfe des Migrations-Assistenten übertragen.

Wenn Sie Kaspersky Endpoint Security 11.4.0–11.6.0 für die Interoperabilität mit „Kaspersky Endpoint Detection and Response Optimum“ verwenden, ist Kaspersky Endpoint Agent in der Anwendung enthalten. Sie können Kaspersky Endpoint Agent gleichzeitig mit Kaspersky Endpoint Security installieren.

Die Komponente „EDR Optimum“ unterstützt als Teil von Kaspersky Endpoint Security die Interaktion mit der Lösung „Kaspersky Endpoint Detection and Response Optimum 2.0“. Die Interaktion mit „Kaspersky Endpoint Detection and Response Optimum“ Version 1.0 wird nicht unterstützt.

In diesem Abschnitt

Untersuchung auf Kompromittierungsindikatoren (IOC)

Datei in die Quarantäne verschieben

Datei anfordern

Datei löschen

Prozess-Start

Prozess beenden

Ausführungsprävention

Isolation des Computernetzwerks

Nach oben