Endpoint Detection and Response

Kaspersky Endpoint Security 11.7.0 dispone ora di un agente integrato per la soluzione Kaspersky Endpoint Detection and Response Optimum (di seguito denominato anche "EDR Optimum"). Kaspersky Endpoint Detection and Response Optimum è una soluzione che consente di proteggere l'infrastruttura IT dell'organizzazione dalle minacce informatiche avanzate. La funzionalità della soluzione combina il rilevamento automatico delle minacce con la capacità di reagire a tali minacce per contrastare gli attacchi avanzati, inclusi nuovi exploit, ransomware, attacchi fileless, nonché metodi che utilizzano strumenti di sistemi legittimi. Per ulteriori informazioni sulla soluzione, consultare la Guida di Kaspersky Endpoint Detection and Response Optimum.

Kaspersky Endpoint Detection and Response Optimum esamina e analizza lo sviluppo delle minacce e fornisce personale di sicurezza o l'Amministratore con informazioni sul potenziale attacco necessarie per una risposta tempestiva. Kaspersky Endpoint Detection and Response mostra i dettagli dell'avviso in una finestra separata. Dettagli dell'avviso è uno strumento che consente di visualizzare la totalità delle informazioni raccolte su una minaccia rilevata e gestire le azioni di risposta. Dettagli dell'avviso include, ad esempio, la cronologia dei file visualizzati nel computer. Per ulteriori informazioni sulla gestione di dettagli dell'avviso, consultare la Guida di Kaspersky Endpoint Detection and Response Optimum.

Il componente può essere gestito solo utilizzando Kaspersky Security Center Web Console. Non è possibile gestire questo componente tramite Administration Console (MMC).

Impostazioni di Endpoint Detection and Response Optimum

Parametro

Descrizione

Isolamento di rete

Isolamento automatico del computer dalla rete in risposta alle minacce rilevate.

Quando l'isolamento della rete è attivato, l'applicazione interrompe tutte le connessioni attive e blocca tutte le nuove connessioni TCP/IP sul computer. L'applicazione lascia attive solo le seguenti connessioni:

  • Connessioni elencate in Esclusioni dall'isolamento di rete.
  • Connessioni avviate dai servizi di Kaspersky Endpoint Security.
  • Connessioni avviate dall'agente di Kaspersky Security Center Administration.

Sblocca automaticamente il computer isolato tra N ore

L'isolamento della rete può essere disattivato automaticamente dopo un periodo di tempo specificato o manualmente. Per impostazione predefinita, Kaspersky Endpoint Security disattiva Isolamento di rete 5 ore dopo l'inizio dell'isolamento.

Esclusioni dall'isolamento di rete

Elenco di regole per le esclusioni dall'isolamento di rete. Le connessioni di rete che soddisfano le regole non vengono bloccate sui computer quando Isolamento di rete è attivato.

Per configurare le esclusioni dall'isolamento di rete, è possibile utilizzare un elenco di profili di rete standard. Per impostazione predefinita, le esclusioni includono i profili di rete che contengono regole che garantiscono il funzionamento costante dei dispositivi con il server DNS/DHCP e i ruoli client DNS/DHCP. È inoltre possibile modificare le impostazioni dei profili di rete standard o definire esclusioni manualmente.

Le esclusioni specificate nelle proprietà dei criteri vengono applicate solo se Isolamento di rete viene attivato automaticamente in risposta a una minaccia rilevata. Le esclusioni specificate nelle proprietà del computer vengono applicate solo se Isolamento di rete è attivato manualmente nelle proprietà del computer in Kaspersky Security Center Console.

Prevenzione dell'esecuzione

Controlla l'esecuzione dei file eseguibili e degli script, nonché l'apertura di file in formato Office. Ad esempio, è possibile impedire l'esecuzione di applicazioni considerate non sicure sul computer selezionato. Prevenzione dell'esecuzione supporta una serie di estensioni di file Office e una serie di interpreti di script.

Azione in caso di esecuzione o apertura di un oggetto vietato

Blocca e scrivi nel rapporto. In questa modalità, l'applicazione blocca l'esecuzione di oggetti o l'apertura di documenti che soddisfano i criteri della regola di prevenzione. L'applicazione pubblica anche un evento sui tentativi di esecuzione di oggetti o apertura di documenti nel registro eventi di Windows e nel registro eventi di Kaspersky Security Center.

Registra solo gli eventi. In questa modalità, Kaspersky Endpoint Security pubblica un evento sui tentativi di esecuzione di oggetti eseguibili o apertura di documenti che corrispondono ai criteri della regola di prevenzione nel registro eventi di Windows e in Kaspersky Security Center, ma non blocca il tentativo di esecuzione o apertura dell'oggetto o del documento. Questa modalità è selezionata per impostazione predefinita.

Regole di prevenzione dell'esecuzione

Elenco delle regole di prevenzione dell'esecuzione degli oggetti. Le regole di prevenzione dell'esecuzione sono una serie di criteri che vengono presi in considerazione durante il blocco. L'applicazione identifica i file in base ai loro percorsi o checksum calcolati utilizzando gli algoritmi di hash MD5 e SHA256.

Inizio pagina