Endpoint Detection and Response

Kaspersky Endpoint Security 11.7.0 ahora tiene un agente integrado para la solución Kaspersky Endpoint Detection and Response Optimum (en lo sucesivo, también denominada "EDR Optimum"). Kaspersky Endpoint Detection and Response Optimum es una solución para proteger la infraestructura de TI de la organización de las amenazas cibernéticas avanzadas. Las características de la solución combinan la detección automática de las amenazas con la capacidad para reaccionar a estas amenazas para contrarrestar los ataques avanzados, incluidos nuevos exploits, ransomware, ataques sin archivos, así como métodos que utilizan herramientas legítimas del sistema. Para obtener más información sobre la solución, consulte la Ayuda de Kaspersky Endpoint Detection and Response Optimum.

Kaspersky Endpoint Detection and Response Optimum revisa y analiza el desarrollo de las amenazas y proporciona al personal de seguridad o al Administrador la información sobre el posible ataque necesaria para una respuesta oportuna. Kaspersky Endpoint Detection and Response muestra los detalles de la alerta en una ventana independiente. Detalles de la alerta es una herramienta para ver la totalidad de la información recopilada sobre una amenaza detectada y administrar las acciones de respuesta. Los detalles de la alerta incluyen, por ejemplo, el historial de archivos que aparecen en el equipo. Para obtener más información sobre la administración de los detalles de la alerta, consulte la Ayuda de Kaspersky Endpoint Detection and Response Optimum.

El componente se puede administrar solo mediante el uso de Kaspersky Security Center Web Console. No puede administrar este componente mediante el uso de la Consola de administración (MMC).

Configuración de Endpoint Detection and Response Optimum

Parámetro

Descripción

Aislamiento de la red

Aislamiento automático del equipo de la red en respuesta a las amenazas detectadas.

Cuando el aislamiento de la red está activado, la aplicación corta todas las conexiones activas y bloquea todas las conexiones TCP/IP nuevas en el equipo. La aplicación deja solo las siguientes conexiones activas:

  • Conexiones enumeradas en Exclusiones de aislamiento de la red.
  • Conexiones iniciadas por los servicios de Kaspersky Endpoint Security.
  • Conexiones iniciadas por el agente de administración de Kaspersky Security Center.

Desbloquear automáticamente el equipo aislado en N horas

El aislamiento de la red se puede desactivar automáticamente después de un tiempo especificado o manualmente. De forma predeterminada, Kaspersky Endpoint Security desactiva el aislamiento de la red 5 horas después del inicio del aislamiento.

Exclusiones de aislamiento de la red

Lista de reglas para las exclusiones del aislamiento de la red. Las conexiones de red que coinciden con las reglas no se bloquean en los equipos cuando el aislamiento de la red está activado.

Para configurar las exclusiones de aislamiento de la red, puede utilizar una lista de perfiles de la red estándar. De forma predeterminada, las exclusiones incluyen perfiles de red que contienen reglas que garantizan el funcionamiento ininterrumpido de los dispositivos con el servidor DNS/DHCP y los roles del cliente DNS/DHCP. También puede modificar la configuración de los perfiles de la red estándar o definir las exclusiones manualmente.

Las exclusiones especificadas en las propiedades de la directiva se aplican solo si el aislamiento de la red se activa automáticamente en respuesta a una amenaza detectada. Las exclusiones especificadas en las propiedades del equipo se aplican solo si el aislamiento de la red se activa manualmente en las propiedades del equipo en la consola de Kaspersky Security Center.

Prevención de la ejecución

Controle la ejecución de los archivos ejecutables y scripts y la apertura de archivos en formato de Office. Por ejemplo, puede evitar la ejecución de aplicaciones que se consideran inseguras en el equipo seleccionado. La prevención de la ejecución es compatible con un conjunto de extensiones de archivos de Office y un conjunto de intérpretes de script.

Acción ante operaciones de ejecución o apertura de un objeto prohibido

Bloquear y escribir para informar. En este modo, la aplicación bloquea la ejecución de objetos o la apertura de documentos que coinciden con los criterios de la regla de prevención. La aplicación también publica un evento sobre los intentos de ejecutar objetos o abrir documentos en el registro de eventos de Windows y en el de Kaspersky Security Center.

Solo eventos del registro. En este modo, Kaspersky Endpoint Security publica un evento sobre los intentos de ejecutar objetos ejecutables o abrir documentos que coinciden con los criterios de la regla de prevención en el registro de eventos de Windows y Kaspersky Security Center, pero no bloquea el intento de ejecutar o abrir el objeto o documento. Este modo está seleccionado de forma predeterminada.

Reglas de Prevención de ejecución

Lista de reglas de Prevención de ejecución de objetos. Las reglas de Prevención de ejecución es un conjunto de criterios que se consideran al bloquear. La aplicación identifica archivos por sus rutas o sumas de comprobación calculadas mediante los algoritmos hash MD5 y SHA256.

Inicio de página