Endpoint Detection and Response

В Kaspersky Endpoint Security версии 11.7.0 добавлен встроенный агент для работы решения Kaspersky Endpoint Detection and Response Optimum (далее также "EDR Optimum"). Решение Kaspersky Endpoint Detection and Response Optimum – решение, предназначенное для защиты IT-инфраструктуры организации от сложных кибернетических угроз. Функционал решения сочетает автоматическое обнаружение угроз с возможностью реагирования на эти угрозы для противодействия сложным атакам, в том числе новым эксплойтам (exploits), программам-шантажистам (ransomware), бесфайловым атакам (fileless attacks), а также методам, использующим законные системные инструменты. Подробнее о решении см. в справке Kaspersky Endpoint Detection and Response Optimum.

Kaspersky Endpoint Detection and Response Optimum выполняет обзор и анализ развития угрозы и предоставляет Сотруднику службы безопасности или Администратору информацию о потенциальной атаке, необходимую для принятия своевременных действий по реагированию. Kaspersky Endpoint Detection and Response показывает детали обнаружения в отдельном окне. Детали обнаружения – инструмент для просмотра всей собранной информации об обнаруженной угрозе и управления действиями по реагированию. Детали обнаружения содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями обнаружения см. справке Kaspersky Endpoint Detection and Response Optimum.

Решение использует следующие средства анализа угроз (Threat Intelligence):

Для работы решения Kaspersky Endpoint Detection and Response Optimum требуется Kaspersky Security Center версии 13.2. В более ранних версиях Kaspersky Security Center невозможно активировать функциональность EDR Optimum.

Управление компонентом доступно только в Web Console. Управлять компонентом в Консоли администрирования (MMC) невозможно.

Интеграция с Kaspersky Endpoint Detection and Response Optimum

Интеграция с Kaspersky Endpoint Detection and Response Optimum состоит из следующих этапов:

  1. Установка компонента Endpoint Detection and Response Optimum

    Вы можете выбрать компонент Endpoint Detection and Response Optimum во время установки или обновления программы, а также с помощью задачи Изменение состава компонентов программы.

    В результате выполнения задачи Изменение состава компонентов программы некорректно отображается статус задачи. Вместо статуса Завершена успешно задача имеет статус Ожидает выполнения. При этом задача может быть выполнена успешно. Убедитесь, что новый компонент установлен в консоли Kaspersky Security Center в свойствах компьютера (ПрограммыKaspersky Endpoint Security для WindowsКомпоненты) или в локальном интерфейсе программы.

  2. Активация Kaspersky Endpoint Detection and Response Optimum

    Вы можете приобрести лицензию на использование Kaspersky Endpoint Detection and Response Optimum следующими способами:

    • Функциональность EDR Optimum включена в состав лицензии на использование Kaspersky Endpoint Security для Windows.

      Функциональность будет доступна сразу после активации Kaspersky Endpoint Security для Windows.

    • Расширение лицензии на использование EDR Optimum.

      Функциональность будет доступна после добавления отдельного ключа Kaspersky Endpoint Detection and Response. В результате на компьютере будет установлено два ключа: ключ для Kaspersky Endpoint Security и ключ для Kaspersky Endpoint Detection and Response Optimum.

      Лицензирование отдельной функциональности EDR Optimum не отличается от лицензирования Kaspersky Endpoint Security.

    Убедитесь, что функциональность EDR Optimum включена в лицензию и работает в локальном интерфейсе программы.

  3. Включение компонента Endpoint Detection and Response Optimum

    Вы можете включить или выключить компонент в настройках политики Kaspersky Endpoint Security для Windows.

    Для работы компонента должны быть выполнены следующие условия:

    Как включить или выключить компонент Endpoint Detection and Response Optimum в Web Console

    В результате компонент Kaspersky Endpoint Detection and Response Optimum будет включен. Проверьте статус работы компонента с помощью отчета Отчет о статусе компонентов программы. Также вы можете посмотреть статус работы компонента в локальном интерфейсе Kaspersky Endpoint Security в отчетах. В список компонентов Kaspersky Endpoint Security будет добавлен компонент Endpoint Detection and Response Optimum.

  4. Включение передачи данных на Сервер администрирования

    Для работы всех функций EDR Optimum должна быть включена передача следующих данных:

    • Данные о файлах карантина.

      Данные нужны для получения информации о помещенных на компьютере файлах на карантин в Web Console. В Web Console вы можете, например, загрузить файл из карантина на компьютер для анализа.

    • Данные о цепочке развития угрозы.

      Данные нужны для получения информации об обнаруженных на компьютере угрозах в Web Console. В Web Console вы можете просматривать детали обнаружения и выполнять действия по реагированию.

    Как включить передачу данных на Сервер администрирования в Web Console

Миграция из Kaspersky Endpoint Agent на Kaspersky Endpoint Security для Windows

Если вы используете Kaspersky Endpoint Security 11.7.0 и выше с установленным компонентом EDR Optimum (встроенный агент), для работы решения Kaspersky Endpoint Detection and Response Optimum дополнительных действий не требуется. Компонент EDR Optimum несовместим с программой Kaspersky Endpoint Agent. Если на компьютере установлена программа Kaspersky Endpoint Agent, при обновлении Kaspersky Endpoint Security до версии 11.7.0 решение Kaspersky Endpoint Detection and Response Optimum продолжит работу с Kaspersky Endpoint Security. Также Kaspersky Endpoint Agent будет удален с компьютера. Для завершения миграции из Kaspersky Endpoint Agent на Kaspersky Endpoint Security для Windows вам нужно перенести параметры политик и задач с помощью мастера миграции.

Если вы используете Kaspersky Endpoint Security 11.4.0-11.6.0 для взаимодействия с Kaspersky Endpoint Detection and Response Optimum, в состав программы включена программа Kaspersky Endpoint Agent. Вы можете установить Kaspersky Endpoint Agent совместно с Kaspersky Endpoint Security.

Компонент EDR Optimum в составе Kaspersky Endpoint Security поддерживает работу с решением Kaspersky Endpoint Detection and Response Optimum версии 2.0. Работа с решением Kaspersky Endpoint Detection and Response Optimum версии 1.0 не поддерживается.

В этом разделе

Поиск индикаторов компрометации (IOC)

Помещение файла на карантин

Получение файла

Удаление файла

Запуск процесса

Завершение процесса

Запрет запуска объектов

Сетевая изоляция компьютера

В начало