Endpoint Detection and Response

O Kaspersky Endpoint Security 11.7.0 agora possui um agente integrado para a solução Kaspersky Endpoint Detection and Response Optimum (doravante também "EDR Optimum"). O Kaspersky Endpoint Detection and Response Optimum é uma solução para proteger a infraestrutura de TI da organização contra ameaças cibernéticas avançadas. A funcionalidade da solução combina a detecção automática de ameaças com a capacidade de reagir a essas ameaças para neutralizar ataques avançados, incluindo novos exploits, ransomwares, ataques sem arquivo, bem como métodos que usam ferramentas de sistema legítimas. Para obter mais informações sobre a solução, consulte a Ajuda do Kaspersky Endpoint Detection and Response Optimum. O Kaspersky Endpoint Detection and Response Optimum revisa e analisa o desenvolvimento de ameaças e fornece segurança pessoal ou o Administrador com as informações sobre o ataque potencial necessárias para uma resposta oportuna. O Kaspersky Endpoint Detection and Response exibe os detalhes de alertas e uma janela separada. Destalhes de alertas é uma ferramenta para visualizar todas as informações coletadas sobre uma ameaça detectada e gerenciar as ações de resposta. Os detalhes da alertas incluem, por exemplo, o histórico de arquivos aparentes no computador. Para obter detalhes sobre o gerenciamento dos detalhes de alertas, consulte a ajuda do Kaspersky Endpoint Detection and Response Optimum.

A solução usa as seguintes ferramentas de inteligência contra ameaças:

• A infraestrutura de serviço na nuvem da Kaspersky Security Network (doravante também chamada de "KSN"), que fornece acesso a arquivos em tempo real, ao site e às informações sobre a reputação de software da base de conhecimento da Kaspersky. A utilização de dados do Kaspersky Security Network garante respostas mais rápidas dos aplicativos da Kaspersky contra as ameaças, melhora o desempenho de alguns componentes de proteção e reduz a possibilidade de falsos positivos.
• Integração com a Kaspersky Private Security Network (doravante também denominada "KPSN"), que permite ao usuário obter acesso ao banco de dados de reputação da KSN, assim como outros dados estatísticos, sem enviar os dados de seus computadores para a KSN.
• Integração com o sistema de informações do portal do Kaspersky Threat Intelligence, que contém e exibe as informações sobre a reputação de arquivos e URLs.
• Banco de dados de ameaças do Kaspersky.

O Kaspersky Endpoint Detection and Response Optimum requer o Kaspersky Security Center versão 13.2. Em versões anteriores do Kaspersky Security Center, é impossível ativar o recurso EDR Optimum.

O componente só pode ser gerenciado usando o Web Console. Não é possível gerenciar esse componente usando o Console de Administração (MMC).

Integração com o Kaspersky Endpoint Detection and Response Optimum

A integração com o Kaspersky Endpoint Detection and Response Optimum compreende as seguintes etapas:

1. Instalação do componente Kaspersky Endpoint Detection and Response Optimum

   É possível selecionar o componente Endpoint Detection and Response Optimum durante a instalação ou atualização, assim como usar a tarefa alterar componentes do aplicativo.

   Depois de executar a tarefa alterar componentes do aplicativo, o status da tarefa é exibido incorretamente. Em vez de Concluída com êxito, a tarefa tem o status Agendado. No entanto, ainda é possível que a tarefa seja concluída com êxito. Certifique-se de que o novo componente seja instalado nas propriedades do computador no console Kaspersky Security Center (Aplicativos → Kaspersky Endpoint Security for Windows → Componentes) ou na interface local do aplicativo.

2. Ativação do Kaspersky Endpoint Detection and Response Optimum

   É possível adquirir uma licença para utilizar o Kaspersky Endpoint Detection and Response Optimum das seguintes maneiras:

   • O recurso EDR Optimum está incluído na licença para a utilização do Kaspersky Endpoint Security for Windows.

     O recurso estará disponível imediatamente após a ativação do Kaspersky Endpoint Security for Windows.

   • Extensão de licença para utilização do EDR Optimum.

     O recurso estará disponível após a adição de uma chave separada para o Kaspersky Endpoint Detection and Response. Assim, duas chaves serão instaladas no computador: uma chave para o Kaspersky Endpoint Security e uma chave para o Kaspersky Endpoint Detection and Response Optimum.

     O licenciamento para o recurso individual EDR Optimum não tem diferença em relação ao licenciamento para o Kaspersky Endpoint Security.

   Certifique-se de que o recurso EDR Optimum esteja incluído na licença e seja executado na interface local do aplicativo.

3. Ativação do componente Endpoint Detection and Response Optimum

   É possível ativar ou desativar o componente nas configurações de política do Kaspersky Endpoint Security for Windows.

   Para usar o componente, as seguintes condições devem ser atendidas:

   • O aplicativo é ativado e a funcionalidade do Kaspersky Endpoint Detection and Response Optimum é contemplada pela licença.
   • O componente Endpoint Detection and Response Optimum está ativado.
   • Os componentes do aplicativo dos quais o Endpoint Detection and Response Optimum depende estão ativados e operacionais. O componente depende dos seguintes componentes:
     • Proteção Contra Ameaças ao Arquivo.
     • Proteção Contra Ameaças da Web.
     • Proteção Contra Ameaças ao Correio.
     • Prevenção de Exploit.
     • Detecção de Comportamento.
     • Prevenção de Intrusão do Host.
     • Mecanismo de Remediação.
     • Controle Adaptativo de Anomalias.

   Como ativar ou desativar o componente Endpoint Detection and Response Optimum no Web Console

   1. Na janela principal do Web Console, selecione Dispositivos → Políticas e perfis.
   2. Clique no nome da política do Kaspersky Endpoint Security.

      A janela de propriedades da política é exibida.

   3. Selecione a guia Configurações do aplicativo.
   4. Selecione Detection and Response → Endpoint Detection and Response Optimum.
   5. Ative o botão de alternância Endpoint Detection and Response Optimum.
   6. Salvar alterações.

   O componente Kaspersky Endpoint Detection and Response Optimum está ativado. Verifique o status operacional do componente visualizando o relatório de status dos componentes do aplicativo. Também é possível visualizar o status operacional de um componente em relatórios na interface local do Kaspersky Endpoint Security. O componente Endpoint Detection and Response Optimum será adicionado à lista de componentes do Kaspersky Endpoint Security.

4. Ativação da transferência de dados para o servidor de administração

   Para ativar todos os recursos do EDR Optimum, a transferência deve ser ativada para os seguintes tipos de dados:

   • Dados dos arquivos na quarentena.

     Os dados são necessários para obter as informações sobre os arquivos em quarentena em um computador por meio do Web Console. Por exemplo, é possível baixar um arquivo a partir da quarentena para a análise no Web Console.

   • Dados da cadeia de evolução de ameaças.

     Os dados são necessários para obter as informações sobre as ameaças detectadas em um computador no Web Console. É possível visualizar os detalhes de alertas e adotar as ações de resposta no Web Console.

   Como ativar a transferência de dados para o servidor de administração no Web Console

   1. Na janela principal do Web Console, selecione Dispositivos → Políticas e perfis.
   2. Clique no nome da política do Kaspersky Endpoint Security.

      A janela de propriedades da política é exibida.

   3. Selecione a guia Configurações do aplicativo.
   4. Selecione Configurações gerais → Relatórios e armazenamentos.
   5. Verifique as seguintes caixas abaixo de Transferência de dados para o servidor de administração:
      • Sobre os arquivos na quarentena.
      • Sobre a cadeia de evolução de ameaças.
   6. Salvar alterações.

Migração do Kaspersky Endpoint Agent para o Kaspersky Endpoint Security for Windows

Caso esteja usando o Kaspersky Endpoint Security 11.7.0 ou uma versão mais recente com o componente EDR Optimum instalado (agente integrado), não é necessário fazer nada para que a solução Kaspersky Endpoint Detection and Response Optimum funcione. O componente EDR Optimum não é compatível com o Kaspersky Endpoint Agent. Caso o Kaspersky Endpoint Agent esteja instalado no computador, quando o Kaspersky Endpoint Security for atualizado para a versão 11.7.0, o Kaspersky Endpoint Detection and Response Optimum continuará funcionando com o Kaspersky Endpoint Security. Além disso, o Kaspersky Endpoint Agent será removido do computador. Para concluir a migração do Kaspersky Endpoint Agent para o Kaspersky Endpoint Security for Windows, é necessário transferir as configurações de política e tarefa usando o Assistente de Migração.

Caso esteja usando o Kaspersky Endpoint Security 11.4.0–11.6.0 para interoperabilidade com o Kaspersky Endpoint Detection and Response Optimum, o aplicativo inclui o Kaspersky Endpoint Agent. É possível instalar o Kaspersky Endpoint Agent durante a instalação do Kaspersky Endpoint Security.

O componente EDR Optimum como parte do Kaspersky Endpoint Security é compatível com a interação da solução Kaspersky Endpoint Detection and Response Optimum 2.0. A interação com Kaspersky Endpoint Detection and Response Optimum versão 1.0 não é compatível.

Nesta seção Verifica os indicadores de comprometimento (IOC) Mover arquivo para a quarentena Obter arquivo Excluir arquivo Início do processo Encerrar processo Prevenção de execução Isolamento do computador em relação à rede

Início da página