Endpoint Detection and Response

В Kaspersky Endpoint Security версии 11.7.0 добавлен встроенный агент для работы решения Kaspersky Endpoint Detection and Response Optimum (далее также "EDR Optimum"). Решение Kaspersky Endpoint Detection and Response Optimum – решение, предназначенное для защиты IT-инфраструктуры организации от сложных кибернетических угроз. Функционал решения сочетает автоматическое обнаружение угроз с возможностью реагирования на эти угрозы для противодействия сложным атакам, в том числе новым эксплойтам (exploits), программам-вымогателям (ransomware), бесфайловым атакам (fileless attacks), а также методам, использующим законные системные инструменты. Подробнее о решении см. в справке Kaspersky Endpoint Detection and Response Optimum.

Kaspersky Endpoint Detection and Response Optimum выполняет обзор и анализ развития угрозы и предоставляет Сотруднику службы безопасности или Администратору информацию о потенциальной атаке, необходимую для принятия своевременных действий по реагированию. Kaspersky Endpoint Detection and Response показывает детали обнаружения в отдельном окне. Детали обнаружения – инструмент для просмотра всей собранной информации об обнаруженной угрозе и управления действиями по реагированию. Детали обнаружения содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями обнаружения см. справке Kaspersky Endpoint Detection and Response Optimum.

Управление компонентом доступно только в Kaspersky Security Center Web Console. Управлять компонентом в Консоли администрирования (MMC) невозможно.

Параметры Endpoint Detection and Response Optimum

Параметр

Описание

Сетевая изоляция

Автоматическая изоляция компьютера от сети в результате реагирования на обнаруженные угрозы.

После включения сетевой изоляции программа разрывает все активные соединения и блокирует все новые соединения TCP/IP на компьютере. Программа оставляет активными только следующие соединения:

  • соединения, указанные в исключениях из Сетевой изоляции;
  • соединения, инициированные службами Kaspersky Endpoint Security;
  • соединения, инициированные Агентом администрирования Kaspersky Security Center.

Разблокировать автоматически изолированный компьютер через N часов

Сетевая изоляция может быть выключена автоматически по истечении заданного периода времени или вручную. По умолчанию, Kaspersky Endpoint Security выключает Сетевую изоляцию через 5 часов после начала изоляции.

Исключения из сетевой изоляции

Список правил исключений из Сетевой изоляции. Сетевые соединения, подпадающие под заданные правила, не будут заблокированы на компьютерах после включения Сетевой изоляции.

Для настройки исключений из Сетевой изоляции в программе доступен список стандартных сетевых профилей. По умолчанию в исключения входят сетевые профили, состоящие из правил, обеспечивающих бесперебойную работу устройств с ролями DNS/DHCP-сервер и DNS/DHCP-клиент. Также вы можете изменить параметры стандартных сетевых профилей или задать исключения вручную.

Исключения, заданные в свойствах политики, применяются, только если Сетевая изоляция включена программой автоматически, в результате реагирования на обнаружение угрозы. Исключения, заданные в свойствах компьютера, применяются, только если Сетевая изоляция включена вручную в свойствах компьютера в консоли Kaspersky Security Center.

Запрет запуска объектов

Контроль запуска исполняемых файлов и скриптов, а также открытия файлов офисного формата. Например, вы можете запретить запуск программ, использование которых считается небезопасным, на выбранном компьютере. Запрет запуска объектов поддерживает определенный набор расширений файлов офисного формата и определенный набор интерпретаторов скриптов.

Действие при запуске или открытии объекта

Блокировать и записывать в отчет. В этом режиме программа блокирует запуск объектов или открытие документов, соответствующих критериям правил запрета. Также программа публикует в журнал событий Windows и Kaspersky Security Center событие о попытках запуска объектов или открытия документов.

Только записывать в отчет. В этом режиме Kaspersky Endpoint Security публикует в Журнал событий Windows и Kaspersky Security Center событие о попытках запуска исполняемых объектов или открытия документов, соответствующих критериям правил запрета, но не блокирует их запуск или открытие. Этот режим выбран по умолчанию.

Правила запрета запуска объектов

Список правил запрета запуска объектов. Правило запрета запуска – это набор критериев, которые учитываются при выполнении блокировки. Программа идентифицирует файлы по их пути или контрольной сумме с помощью алгоритмов хеширования MD5 и SHA256.

В начало