Endpoint Detection and Response

Kaspersky Endpoint Security 11.7.0 ahora tiene un agente integrado para la solución Kaspersky Endpoint Detection and Response Optimum (en adelante también "EDR Optimum"). Kaspersky Endpoint Detection and Response Optimum es una solución para proteger la infraestructura de TI de la organización de las amenazas cibernéticas avanzadas. La funcionalidad de la solución combina la detección automática de amenazas con la capacidad de reaccionar a estas amenazas para contrarrestar ataques avanzados, incluidos nuevos exploits, ransomware, ataques sin archivos, así como métodos que utilizan herramientas legítimas del sistema. Para obtener más información sobre la solución, consulte la Ayuda de Kaspersky Endpoint Detection and Response Optimum.

Kaspersky Endpoint Detection and Response Optimum revisa y analiza el desarrollo de amenazas e informa al personal de seguridad o al Administrador sobre el posible ataque, para permitir una respuesta oportuna. Kaspersky Endpoint Detection and Response muestra los detalles de la alerta en una ventana separada. Detalles de la alerta es una herramienta para ver la totalidad de la información recolectada sobre una amenaza detectada y administrar las acciones de respuesta. Detalles de la alerta incluye, por ejemplo, el historial de archivos que aparecen en el equipo. Para obtener más información sobre la administración de detalles de la alerta, consulte la Ayuda de Kaspersky Endpoint Detection and Response Optimum.

El componente solo se puede administrar mediante Kaspersky Security Center Web Console. No puede administrar este componente mediante la Consola de administración (MMC).

Configuración de Endpoint Detection and Response Optimum

Parámetro

Descripción

Aislamiento de red

Aislamiento automático del equipo de la red en respuesta a amenazas detectadas.

Cuando el aislamiento de red está activado, la aplicación corta todas las conexiones activas y bloquea todas las conexiones TCP/IP nuevas en el equipo. La aplicación deja solo las siguientes conexiones activas:

  • Conexiones enumeradas en exclusiones de aislamiento de red.
  • Conexiones iniciadas por los servicios de Kaspersky Endpoint Security.
  • Conexiones iniciadas por el agente de administración de Kaspersky Security Center.

Desbloquear automáticamente el equipo aislado en N horas

El aislamiento de red se puede desactivar automáticamente después de un tiempo especificado o manualmente. De forma predeterminada, Kaspersky Endpoint Security desactiva el aislamiento de red 5 horas después del inicio del aislamiento.

Exclusiones de aislamiento de red

Lista de reglas para las exclusiones del aislamiento de red. Las conexiones de red que coinciden con las reglas no se bloquean en los equipos cuando el aislamiento de red está activado.

Para configurar las Exclusiones de aislamiento de red, puede usar una lista de perfiles de red estándar. De forma predeterminada, las exclusiones incluyen perfiles de red con reglas que garantizan el funcionamiento ininterrumpido de los dispositivos con el servidor DNS/DHCP y los roles de cliente DNS/DHCP. También puede modificar la configuración de los perfiles de red estándar o definir exclusiones manualmente.

Las exclusiones especificadas en las propiedades de la directiva se aplican solo si el aislamiento de red se activa automáticamente en respuesta a una amenaza detectada. Las exclusiones especificadas en las propiedades del equipo se aplican solo si el aislamiento de red se activa manualmente en las propiedades del equipo en la consola de Kaspersky Security Center.

Prevención de ejecución

Controle la ejecución de archivos ejecutables y scripts y la apertura de archivos en formato Office. Por ejemplo, puede evitar la ejecución de aplicaciones que se consideran inseguras en el equipo seleccionado. La prevención de ejecución es compatible con un conjunto de extensiones de archivos y un conjunto de intérpretes de script.

Acción al ejecutar o abrir un objeto prohibido

Bloquear y escribirlo en el informe. En este modo, la aplicación bloquea la ejecución de objetos o la apertura de documentos que coinciden con los criterios de la regla de prevención. La aplicación también publica un evento sobre los intentos de ejecutar objetos o abrir documentos en el registro de eventos de Windows y en el registro de eventos de Kaspersky Security Center.

Solo eventos del registro. En este modo, Kaspersky Endpoint Security publica un evento sobre los intentos de ejecutar objetos ejecutables o abrir documentos que coinciden con los criterios de la regla de prevención en el registro de eventos de Windows y Kaspersky Security Center, pero no bloquea el intento de ejecutar o abrir el objeto o documento. Este modo está seleccionado de forma predeterminada.

Normas de prevención de la ejecución

Lista de reglas de prevención de ejecución de objetos. Las reglas de prevención de ejecución son un conjunto de criterios que se consideran al realizar bloqueos. La aplicación identifica archivos por sus rutas o sumas de comprobación calculadas mediante algoritmos hash MD5 y SHA256.

Inicio de página