Endpoint Detection and Response

Kaspersky Endpoint Security 11.7.0 dispone ora di un agente integrato per la soluzione Kaspersky Endpoint Detection and Response Optimum (di seguito denominato anche "EDR Optimum"). Kaspersky Endpoint Detection and Response Optimum è una soluzione che consente di proteggere l'infrastruttura IT dell'organizzazione dalle minacce informatiche avanzate. La funzionalità della soluzione combina il rilevamento automatico delle minacce con la capacità di reagire a tali minacce per contrastare gli attacchi avanzati, inclusi nuovi exploit, ransomware, attacchi fileless, nonché metodi che utilizzano strumenti di sistemi legittimi. Per ulteriori informazioni sulla soluzione, consultare la Guida di Kaspersky Endpoint Detection and Response Optimum. Kaspersky Endpoint Detection and Response Optimum esamina e analizza lo sviluppo delle minacce e fornisce personale di sicurezza o l'Amministratore con informazioni sul potenziale attacco necessarie per una risposta tempestiva. Kaspersky Endpoint Detection and Response mostra i dettagli dell'avviso in una finestra separata. Dettagli dell'avviso è uno strumento che consente di visualizzare la totalità delle informazioni raccolte su una minaccia rilevata e gestire le azioni di risposta. Dettagli dell'avviso include, ad esempio, la cronologia dei file visualizzati nel computer. Per ulteriori informazioni sulla gestione di dettagli dell'avviso, consultare la Guida di Kaspersky Endpoint Detection and Response Optimum.

La soluzione utilizza i seguenti strumenti di Threat Intelligence:

• L'infrastruttura di servizi cloud di Kaspersky Security Network (di seguito denominata anche "KSN"), che fornisce accesso ai file in tempo reale, siti Web e informazioni sulla reputazione del software dalla knowledge base di Kaspersky. L'utilizzo dei dati provenienti da Kaspersky Security Network garantisce risposte più rapide da parte delle applicazioni Kaspersky alle minacce, migliora le prestazioni di alcuni componenti della protezione e riduce la probabilità di falsi positivi.
• Integrazione con Kaspersky Private Security Network (di seguito denominato anche "KPSN"), che consente all'utente di accedere al database di reputazione di KSN e ad altri dati statistici senza inviare dati dai propri computer a KSN.
• Integrazione con il sistema informativo Kaspersky Threat Intelligence Portal, che contiene e mostra informazioni sulla reputazione di file e URL.
• Database delle minacce di Kaspersky.

Kaspersky Endpoint Detection and Response Optimum richiede Kaspersky Security Center versione 13.2. Nelle versioni precedenti di Kaspersky Security Center, non è possibile attivare la funzionalità EDR Optimum.

Il componente può essere gestito solo utilizzando Web Console. Non è possibile gestire questo componente tramite Administration Console (MMC).

Integrazione con Kaspersky Endpoint Detection and Response Optimum

L'integrazione con Kaspersky Endpoint Detection and Response Optimum prevede i seguenti passaggi:

1. Installazione del componente Kaspersky Endpoint Detection and Response Optimum

   È possibile selezionare il componente Endpoint Detection and Response Optimum durante l'installazione o l'upgrade, oltre a utilizzare l'attività Modifica componenti dell'applicazione.

   In seguito all'esecuzione dell'attività Modifica componenti dell'applicazione, lo stato dell'attività viene visualizzato in modo errato. Anziché Completata correttamente, l'attività presenta lo stato Pianificata. Tuttavia, l'attività può essere completata correttamente. Accertarsi che il nuovo componente sia installato nelle proprietà del computer della console di Kaspersky Security Center (Applicazioni → Kaspersky Endpoint Security for Windows → Componenti) o nell'interfaccia dell'applicazione locale.

2. Attivazione di Kaspersky Endpoint Detection and Response Optimum

   È possibile acquisire una licenza per l'uso di Kaspersky Endpoint Detection and Response Optimum nei seguenti modi:

   • La funzionalità EDR Optimum è inclusa nella licenza per l'uso di Kaspersky Endpoint Security for Windows.

     La funzionalità sarà disponibile immediatamente dopo l'attivazione di Kaspersky Endpoint Security for Windows.

   • Estensione della licenza per l'uso di EDR Optimum.

     La funzionalità sarà disponibile dopo aver aggiunto una chiave separata per Kaspersky Endpoint Detection and Response. Di conseguenza, nel computer verranno installate due chiavi: una per Kaspersky Endpoint Security e l'altra per Kaspersky Endpoint Detection and Response Optimum.

     Le licenze per la singola funzionalità EDR Optimum non differiscono dalle licenze per Kaspersky Endpoint Security.

   Verificare che la funzionalità EDR Optimum sia inclusa nella licenza e che venga eseguita nell'interfaccia locale dell'applicazione.

3. Abilitazione del componente Endpoint Detection and Response Optimum

   È possibile abilitare o disabilitare il componente nelle impostazioni dei criteri di Kaspersky Endpoint Security for Windows.

   Per utilizzare il componente, è necessario che le seguenti condizioni siano soddisfatte:

   • L'applicazione è attivata e la funzionalità Kaspersky Endpoint Detection and Response Optimum è coperta dalla licenza.
   • Il componente Endpoint Detection and Response Optimum è attivato.
   • I componenti dell'applicazione da cui dipende Endpoint Detection e Response Optimum sono abilitati e operativi. Il componente dipende dai seguenti componenti:
     • Protezione minacce file.
     • Protezione minacce web.
     • Protezione minacce di posta.
     • Prevenzione Exploit.
     • Rilevamento del Comportamento.
     • Prevenzione Intrusioni Host.
     • Motore di Remediation.
     • Controllo adattivo delle anomalie.

   Come abilitare o disabilitare il componente Endpoint Detection and Response Optimum in Web Console

   1. Nella finestra principale di Web Console selezionare Dispositivi → Criteri e profili.
   2. Fare clic sul nome del criterio di Kaspersky Endpoint Security.

      Verrà visualizzata la finestra delle proprietà del criterio.

   3. Selezionare la scheda Impostazioni applicazione.
   4. Selezionare Detection and Response → Endpoint Detection and Response Optimum.
   5. Attivare l'interruttore Endpoint Detection and Response Optimum.
   6. Salvare le modifiche.

   Il componente Kaspersky Endpoint Detection and Response Optimum è abilitato. Verificare lo stato operativo del componente visualizzando il Rapporto sullo stato dei componenti dell'applicazione. È inoltre possibile visualizzare lo stato operativo di un componente nei rapporti nell'interfaccia locale di Kaspersky Endpoint Security. Il componente Endpoint Detection and Response Optimum viene aggiunto all'elenco dei componenti di Kaspersky Endpoint Security.

4. Abilitazione del trasferimento dei dati ad Administration Server

   Per abilitare tutte le funzionalità di EDR Optimum, è necessario abilitare il trasferimento per i seguenti tipi di dati:

   • Dati dei file in quarantena.

     I dati sono necessari per ottenere informazioni sui file in quarantena in un computer tramite Web Console. Ad esempio, è possibile scaricare un file dalla quarantena per l'analisi in Web Console.

   • Dati della catena di sviluppo delle minacce.

     I dati sono necessari per ottenere informazioni sulle minacce rilevate in un computer in Web Console. È possibile visualizzare i dettagli degli avvisi ed eseguire azioni di risposta in Web Console.

   Come abilitare il trasferimento dei dati ad Administration Server in Web Console

   1. Nella finestra principale di Web Console selezionare Dispositivi → Criteri e profili.
   2. Fare clic sul nome del criterio di Kaspersky Endpoint Security.

      Verrà visualizzata la finestra delle proprietà del criterio.

   3. Selezionare la scheda Impostazioni applicazione.
   4. Selezionare Impostazioni generali → Rapporti e archiviazione.
   5. Selezionare le seguenti caselle in Trasferimento dei dati ad Administration Server:
      • Informazioni sui file in quarantena.
      • Informazioni sulla catena di sviluppo delle minacce.
   6. Salvare le modifiche.

Migrazione da Kaspersky Endpoint Agent a Kaspersky Endpoint Security for Windows

Se si utilizza Kaspersky Endpoint Security 11.7.0 o versione successiva con il componente EDR Optimum (agente integrato) installato, non è necessario eseguire alcuna operazione affinché la soluzione Kaspersky Endpoint Detection and Response Optimum funzioni. Il componente EDR Optimum non è compatibile con Kaspersky Endpoint Agent. Se Kaspersky Endpoint Agent è installato nel computer, quando Kaspersky Endpoint Security viene aggiornato alla versione 11.7.0, Kaspersky Endpoint Detection and Response Optimum continua a funzionare con Kaspersky Endpoint Security. Inoltre, Kaspersky Endpoint Agent verrà rimosso dal computer. Per completare la migrazione da Kaspersky Endpoint Agent a Kaspersky Endpoint Security for Windows, è necessario trasferire le impostazioni dei criteri e delle attività tramite la migrazione guidata.

Se si utilizza Kaspersky Endpoint Security 11.4.0-11.6.0 per l'interoperabilità con Kaspersky Endpoint Detection and Response Optimum, l'applicazione include Kaspersky Endpoint Agent. È possibile installare Kaspersky Endpoint Agent insieme a Kaspersky Endpoint Security.

Il componente EDR Optimum come parte di Kaspersky Endpoint Security supporta l'interazione con la soluzione Kaspersky Endpoint Detection and Response Optimum 2.0. L'interazione con Kaspersky Endpoint Detection and Response Optimum versione 1.0 non è supportata.

In questa sezione Scansione degli indicatori di compromissione (IOC) Sposta il file in Quarantena Ottieni file Elimina file Avvio del processo Termina processo Prevenzione dell'esecuzione Isolamento di rete del computer

Inizio pagina