Endpoint Detection and Response

Kaspersky Endpoint Security 11.7.0 verfügt jetzt über einen integrierten Agenten für die Lösung „Kaspersky Endpoint Detection and Response Optimum“ (im Folgenden auch „EDR Optimum“). Die Lösung Kaspersky Endpoint Detection and Response Optimum schützt die IT-Infrastruktur eines Unternehmens vor komplexen Cyberbedrohungen. Diese Lösung kombiniert die automatische Erkennung von Bedrohungen mit der Fähigkeit, auf diese Bedrohungen zu reagieren. Dadurch lassen sich komplexe Angriffen wie neue Exploits, Ransomware, dateilose Angriffe und Methoden mit legitimen Systemtools abwehren. Weitere Informationen zu dieser Lösung finden Sie in der Hilfe zu Kaspersky Endpoint Detection and Response Optimum.

„Kaspersky Endpoint Detection and Response Optimum“ überprüft und analysiert, wie sich eine Bedrohung entwickelt, und versorgt die Sicherheitsabteilung oder den Administrator mit Informationen über den möglichen Angriff, um eine rechtzeitige Reaktion zu ermöglichen. Kaspersky Endpoint Detection and Response (EDR) zeigt Alarm-Details in einem separaten Fenster an. Alarm-Details ist ein Tool, mit dem alle über eine erkannte Bedrohung gesammelten Informationen angezeigt und die Reaktionen verwaltet werden können. Zu den Alarm-Details gehört beispielsweise der Verlauf der auf dem Computer angezeigten Dateien. Einzelheiten zur Verwaltung der Alarm-Details finden Sie in der Hilfe zu Kaspersky Endpoint Detection and Response Optimum.

Die Komponente kann nur über die „Kaspersky Security Center Web Console“ verwaltet werden. Sie können diese Komponente nicht mit der Verwaltungskonsole (MMC) verwalten.

Einstellungen für „Endpoint Detection and Response Optimum“

Einstellung

Beschreibung

Netzwerkisolation

Automatische Isolation des Computers vom Netzwerk als Reaktion auf erkannte Bedrohungen.

Wenn die Netzwerkisolation aktiviert ist, trennt die Anwendung alle aktiven Verbindungen und blockiert alle neuen TCP/IP-Verbindungen auf dem Computer. Die Anwendung lässt nur die folgenden Verbindungen zu:

  • Verbindungen, die als Ausnahmen von der Netzwerkisolation festgelegt sind.
  • Verbindungen, die von Kaspersky Endpoint Security-Diensten initiiert werden.
  • Verbindungen, die vom Administrationsagenten für Kaspersky Security Center initiiert werden.

Blockierung des isolierten Computers automatisch aufheben nach n Stunden

Die Netzwerkisolation kann automatisch nach einem bestimmten Zeitraum deaktiviert werden oder manuell. Kaspersky Endpoint Security deaktiviert die Netzwerkisolation standardmäßig 5 Stunden nach Beginn der Isolierung.

Ausnahmen von der Netzwerkisolation

Liste mit Regeln für Ausnahmen von der Netzwerkisolation. Netzwerkverbindungen, die diesen Regeln entsprechen, werden auf Computern nicht gesperrt, wenn die Netzwerkisolation aktiviert ist.

Zur Konfigurierung von Ausnahmen für die Netzwerkisolation können Sie eine Liste von Standardnetzwerkprofilen verwenden. Zu den Ausnahmen gehören standardmäßig Netzwerkprofile mit Regeln, die sicherstellen, dass Geräte mit den Rollen DNS/DHCP-Server und DNS/DHCP-Client unterbrechungsfrei funktionieren. Außerdem können Sie die Einstellungen von Standardnetzwerkprofilen ändern oder Ausnahmen manuell definieren.

In den Richtlinieneigenschaften angegebene Ausnahmen werden nur angewendet, wenn die Netzwerkisolation als Reaktion auf eine erkannte Bedrohung automatisch aktiviert wird. In den Computereigenschaften angegebene Ausnahmen werden nur angewendet, wenn die Netzwerkisolation manuell in den Computereigenschaften in der Kaspersky Security Center-Konsole aktiviert wurde.

Ausführungsprävention

Steuert die Ausführung von ausführbaren Dateien und Skripten sowie das Öffnen von Dateien im Office-Format. Sie können beispielsweise die Ausführung von Anwendungen verhindern, die auf dem ausgewählten Computer als unsicher gelten. Die Ausführungsverhinderung unterstützt eine Reihe von Office-Dateierweiterungen und Skriptinterpretern.

Aktion beim Ausführen oder Öffnen eines verbotenen Objekts

Blockieren und protokollieren. In diesem Modus sperrt die Anwendung die Ausführung von Objekten oder das Öffnen von Dokumenten, die den Kriterien der Präventionsregel entsprechen. Außerdem veröffentlicht die Anwendung im Windows-Ereignisprotokoll und im Kaspersky Security Center-Ereignisprotokoll ein Ereignis über Versuche, Objekte auszuführen oder Dokumente zu öffnen.

Nur Ereignisse protokollieren. In diesem Modus veröffentlicht Kaspersky Endpoint Security im Windows-Ereignisprotokoll und in Kaspersky Security Center ein Ereignis über Versuche, ausführbare Objekte auszuführen oder Dokumente zu öffnen, die den Kriterien der Präventionsregel entsprechen. Der Versuch, das Objekt auszuführen oder das Dokument zu öffnen, wird jedoch nicht blockiert. Standardmäßig ist dieser Modus ausgewählt.

Regeln für die Ausführungsprävention

Liste mit Regeln zur Prävention der Ausführung von Objekten. Eine Regel für die Ausführungsprävention ist eine Reihe von Kriterien, die bei einer Sperrung berücksichtigt werden. Die Anwendung identifiziert Dateien anhand von Pfaden oder Prüfsummen, die auf MD5- und SHA256-Hash-Algorithmen beruhen.

Nach oben