Endpoint Detection and Response

O Kaspersky Endpoint Security 11.7.0 agora possui um agente integrado para a solução Kaspersky Endpoint Detection and Response Optimum (doravante também "EDR Optimum"). O Kaspersky Endpoint Detection and Response Optimum é uma solução para proteger a infraestrutura de TI da organização contra ameaças cibernéticas avançadas. A funcionalidade da solução combina a detecção automática de ameaças com a capacidade de reagir a essas ameaças para neutralizar ataques avançados, incluindo novos exploits, ransomwares, ataques sem arquivo, bem como métodos que usam ferramentas de sistema legítimas. Para obter mais informações sobre a solução, consulte a Ajuda do Kaspersky Endpoint Detection and Response Optimum.

O Kaspersky Endpoint Detection and Response Optimum revisa e analisa o desenvolvimento de ameaças e fornece segurança pessoal ou o Administrador com as informações sobre o ataque potencial necessárias para uma resposta oportuna. O Kaspersky Endpoint Detection and Response exibe os detalhes de alertas e uma janela separada. Destalhes de alertas é uma ferramenta para visualizar todas as informações coletadas sobre uma ameaça detectada e gerenciar as ações de resposta. Os detalhes da alertas incluem, por exemplo, o histórico de arquivos aparentes no computador. Para obter detalhes sobre o gerenciamento dos detalhes de alertas, consulte a ajuda do Kaspersky Endpoint Detection and Response Optimum.

O componente só pode ser gerenciado usando o Kaspersky Security Center Web Console. Não é possível gerenciar esse componente usando o Console de Administração (MMC).

Configurações do Endpoint Detection and Response Optimum

Parâmetro

Descrição

Isolamento de rede

Isolamento automático do computador da rede em resposta às ameaças detectadas.

Quando o isolamento de rede é ativado, o aplicativo corta todas as conexões ativas e bloqueia todas as novas conexões TCP/IP no computador. O aplicativo deixa apenas as seguintes conexões ativas:

  • Conexões listadas em exclusões de isolamento de rede.
  • Conexões iniciadas pelos serviços do Kaspersky Endpoint Security.
  • Conexões iniciadas pelo agente do Kaspersky Security Center Administration.

Desbloquear automaticamente o computador isolado em N horas

O isolamento de rede pode ser desligado automaticamente após um tempo especificado ou manualmente. Por padrão, o Kaspersky Endpoint Security desativa o isolamento de rede 5 horas após o início do isolamento.

Exclusões de isolamento de rede

Lista de regras para exclusões de isolamento de rede. As conexões de rede que correspondem às regras não são bloqueadas em computadores quando o isolamento de rede é ativado.

Para configurar as exclusões de isolamento de rede, é possível utilizar a lista de perfis de rede padrão. Por padrão, as exclusões incluem os perfis de rede contendo as regras que garantem a operação ininterrupta de dispositivos com funções de servidor DNS/DHCP e cliente DNS/DHCP. Também é possível modificar as configurações dos perfis de rede padrão ou definir as exclusões manualmente.

As exclusões especificadas nas propriedades da política são aplicadas apenas se o isolamento de rede for ativado automaticamente em resposta a uma ameaça detectada. As exclusões especificadas nas propriedades do computador são aplicadas apenas se o isolamento de rede for ativado manualmente nas propriedades do computador no console do Kaspersky Security Center.

Prevenção de execução

Controle a execução de arquivos executáveis e scripts e abertura de arquivos de formato Office. Por exemplo, é possível impedir a execução de aplicativos considerados inseguros no computador selecionado. A prevenção de execução é compatível com um conjunto de extensões de arquivos do office e um conjunto de intérpretes de script.

Ação na execução ou abertura de objeto proibido

Bloquear e gravar no relatório. Neste modo, o aplicativo bloqueia a execução de objetos ou a abertura de documentos que atendam aos critérios da regra de prevenção. O aplicativo também publica um evento sobre as tentativas de execução de objetos ou documentos abertos no log de eventos do Windows e no log de eventos do Kaspersky Security Center.

Criar log de eventos apenas. Neste modo, o Kaspersky Endpoint Security publica um evento sobre tentativas de execução de objetos executáveis ou documentos abertos que correspondem aos critérios da regra de prevenção no log de eventos do Windows e no Kaspersky Security Center, mas não bloqueia a tentativa de executar ou abrir o objeto ou documento. O item está selecionado por padrão.

Regras de prevenção de execução

Lista de regras de prevenção de execução de objeto. As regras de prevenção de execução são um conjunto de critérios que são considerados durante o bloqueio. O aplicativo identifica os arquivos por seus caminhos ou somas de verificação calculados usando algoritmos de hash MD5 e SHA256.

Início da página