Endpoint Detection and Response
|
В Kaspersky Endpoint Security версии 11.7.0 добавлен встроенный агент для работы решения Kaspersky Endpoint Detection and Response Optimum (далее также "EDR Optimum"). Решение Kaspersky Endpoint Detection and Response Optimum – решение, предназначенное для защиты IT-инфраструктуры организации от сложных кибернетических угроз. Функционал решения сочетает автоматическое обнаружение угроз с возможностью реагирования на эти угрозы для противодействия сложным атакам, в том числе новым эксплойтам (exploits), программам-вымогателям (ransomware), бесфайловым атакам (fileless attacks), а также методам, использующим законные системные инструменты. Подробнее о решении см. в справке Kaspersky Endpoint Detection and Response Optimum. Kaspersky Endpoint Detection and Response Optimum выполняет обзор и анализ развития угрозы и предоставляет Сотруднику службы безопасности или Администратору информацию о потенциальной атаке, необходимую для принятия своевременных действий по реагированию. Kaspersky Endpoint Detection and Response показывает детали обнаружения в отдельном окне. Детали обнаружения – инструмент для просмотра всей собранной информации об обнаруженной угрозе и управления действиями по реагированию. Детали обнаружения содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями обнаружения см. справке Kaspersky Endpoint Detection and Response Optimum. |
Решение использует следующие средства анализа угроз (Threat Intelligence):
- Инфраструктура облачных служб Kaspersky Security Network (далее также "KSN"), предоставляющую доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции программ "Лаборатории Касперского" на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний.
- Интеграция с программой "Лаборатории Касперского" Kaspersky Private Security Network (далее также "KPSN"), предоставляющую пользователю возможность получать доступ к репутационным базам KSN, а также другим статистическим данным, не отправляя данные в KSN со своих компьютеров.
- Интеграция с информационной системой "Лаборатории Касперского" Kaspersky Threat Intelligence Portal, которая содержит и отображает информацию о репутации файлов и URL-адресов.
- База угроз "Лаборатории Касперского" Kaspersky Threats.
Для работы решения Kaspersky Endpoint Detection and Response Optimum требуется Kaspersky Security Center версии 13.2. В более ранних версиях Kaspersky Security Center невозможно активировать функциональность EDR Optimum.
Управление компонентом доступно только в Web Console. Управлять компонентом в Консоли администрирования (MMC) невозможно.
Интеграция с Kaspersky Endpoint Detection and Response Optimum
Интеграция с Kaspersky Endpoint Detection and Response Optimum состоит из следующих этапов:
- Установка компонента Endpoint Detection and Response Optimum
Вы можете выбрать компонент Endpoint Detection and Response Optimum во время установки или обновления программы, а также с помощью задачи Изменение состава компонентов программы.
В результате выполнения задачи Изменение состава компонентов программы некорректно отображается статус задачи. Вместо статуса Завершена успешно задача имеет статус Ожидает выполнения. При этом задача может быть выполнена успешно. Убедитесь, что новый компонент установлен в консоли Kaspersky Security Center в свойствах компьютера (Программы → Kaspersky Endpoint Security для Windows → Компоненты) или в локальном интерфейсе программы.
- Активация Kaspersky Endpoint Detection and Response Optimum
Вы можете приобрести лицензию на использование Kaspersky Endpoint Detection and Response Optimum следующими способами:
- Функциональность EDR Optimum включена в состав лицензии на использование Kaspersky Endpoint Security для Windows.
Функциональность будет доступна сразу после активации Kaspersky Endpoint Security для Windows.
- Расширение лицензии на использование EDR Optimum.
Функциональность будет доступна после добавления отдельного ключа Kaspersky Endpoint Detection and Response. В результате на компьютере будет установлено два ключа: ключ для Kaspersky Endpoint Security и ключ для Kaspersky Endpoint Detection and Response Optimum.
Лицензирование отдельной функциональности EDR Optimum не отличается от лицензирования Kaspersky Endpoint Security.
Убедитесь, что функциональность EDR Optimum включена в лицензию и работает в локальном интерфейсе программы.
- Функциональность EDR Optimum включена в состав лицензии на использование Kaspersky Endpoint Security для Windows.
- Включение компонента Endpoint Detection and Response Optimum
Вы можете включить или выключить компонент в настройках политики Kaspersky Endpoint Security для Windows.
Для работы компонента должны быть выполнены следующие условия:
- Программа активирована и функциональность Kaspersky Endpoint Detection and Response Optimum входит в лицензию.
- Компонент Endpoint Detection and Response Optimum включен.
- Компоненты программы, которые обеспечивают работу Endpoint Detection and Response Optimum, включены и работают. Работу компонента обеспечивают следующие компоненты:
Как включить или выключить компонент Endpoint Detection and Response Optimum в Web Console
В результате компонент Kaspersky Endpoint Detection and Response Optimum будет включен. Проверьте статус работы компонента с помощью отчета Отчет о статусе компонентов программы. Также вы можете посмотреть статус работы компонента в локальном интерфейсе Kaspersky Endpoint Security в отчетах. В список компонентов Kaspersky Endpoint Security будет добавлен компонент Endpoint Detection and Response Optimum.
- Включение передачи данных на Сервер администрирования
Для работы всех функций EDR Optimum должна быть включена передача следующих данных:
- Данные о файлах карантина.
Данные нужны для получения информации о помещенных на компьютере файлах на карантин в Web Console. В Web Console вы можете, например, загрузить файл из карантина на компьютер для анализа.
- Данные о цепочке развития угрозы.
Данные нужны для получения информации об обнаруженных на компьютере угрозах в Web Console. В Web Console вы можете просматривать детали обнаружения и выполнять действия по реагированию.
Как включить передачу данных на Сервер администрирования в Web Console
- Данные о файлах карантина.
Миграция из Kaspersky Endpoint Agent на Kaspersky Endpoint Security для Windows
Если вы используете Kaspersky Endpoint Security 11.7.0 и выше с установленным компонентом EDR Optimum (встроенный агент), для работы решения Kaspersky Endpoint Detection and Response Optimum дополнительных действий не требуется. Компонент EDR Optimum несовместим с программой Kaspersky Endpoint Agent. Если на компьютере установлена программа Kaspersky Endpoint Agent, при обновлении Kaspersky Endpoint Security до версии 11.7.0 решение Kaspersky Endpoint Detection and Response Optimum продолжит работу с Kaspersky Endpoint Security. Также Kaspersky Endpoint Agent будет удален с компьютера. Для завершения миграции из Kaspersky Endpoint Agent на Kaspersky Endpoint Security для Windows вам нужно перенести параметры политик и задач с помощью мастера миграции.
Если вы используете Kaspersky Endpoint Security 11.4.0-11.6.0 для взаимодействия с Kaspersky Endpoint Detection and Response Optimum, в состав программы включена программа Kaspersky Endpoint Agent. Вы можете установить Kaspersky Endpoint Agent совместно с Kaspersky Endpoint Security.
Компонент EDR Optimum в составе Kaspersky Endpoint Security поддерживает работу с решением Kaspersky Endpoint Detection and Response Optimum версии 2.0. Работа с решением Kaspersky Endpoint Detection and Response Optimum версии 1.0 не поддерживается.