Endpoint Detection and Response

Решение использует следующие средства анализа угроз (Threat Intelligence):

• Инфраструктура облачных служб Kaspersky Security Network (далее также "KSN"), предоставляющую доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции программ "Лаборатории Касперского" на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний.
• Интеграция с программой "Лаборатории Касперского" Kaspersky Private Security Network (далее также "KPSN"), предоставляющую пользователю возможность получать доступ к репутационным базам KSN, а также другим статистическим данным, не отправляя данные в KSN со своих компьютеров.
• Интеграция с информационной системой "Лаборатории Касперского" Kaspersky Threat Intelligence Portal, которая содержит и отображает информацию о репутации файлов и URL-адресов.
• База угроз "Лаборатории Касперского" Kaspersky Threats.

Для работы решения Kaspersky Endpoint Detection and Response Optimum требуется Kaspersky Security Center версии 13.2. В более ранних версиях Kaspersky Security Center невозможно активировать функциональность EDR Optimum.

Управление компонентом доступно только в Web Console. Управлять компонентом в Консоли администрирования (MMC) невозможно.

Интеграция с Kaspersky Endpoint Detection and Response Optimum

Интеграция с Kaspersky Endpoint Detection and Response Optimum состоит из следующих этапов:

1. Установка компонента Endpoint Detection and Response Optimum

   Вы можете выбрать компонент Endpoint Detection and Response Optimum во время установки или обновления программы, а также с помощью задачи Изменение состава компонентов программы.

   В результате выполнения задачи Изменение состава компонентов программы некорректно отображается статус задачи. Вместо статуса Завершена успешно задача имеет статус Ожидает выполнения. При этом задача может быть выполнена успешно. Убедитесь, что новый компонент установлен в консоли Kaspersky Security Center в свойствах компьютера (Программы → Kaspersky Endpoint Security для Windows → Компоненты) или в локальном интерфейсе программы.

2. Активация Kaspersky Endpoint Detection and Response Optimum

   Вы можете приобрести лицензию на использование Kaspersky Endpoint Detection and Response Optimum следующими способами:

   • Функциональность EDR Optimum включена в состав лицензии на использование Kaspersky Endpoint Security для Windows.

     Функциональность будет доступна сразу после активации Kaspersky Endpoint Security для Windows.

   • Расширение лицензии на использование EDR Optimum.

     Функциональность будет доступна после добавления отдельного ключа Kaspersky Endpoint Detection and Response. В результате на компьютере будет установлено два ключа: ключ для Kaspersky Endpoint Security и ключ для Kaspersky Endpoint Detection and Response Optimum.

     Лицензирование отдельной функциональности EDR Optimum не отличается от лицензирования Kaspersky Endpoint Security.

   Убедитесь, что функциональность EDR Optimum включена в лицензию и работает в локальном интерфейсе программы.

3. Включение компонента Endpoint Detection and Response Optimum

   Вы можете включить или выключить компонент в настройках политики Kaspersky Endpoint Security для Windows.

   Для работы компонента должны быть выполнены следующие условия:

   • Программа активирована и функциональность Kaspersky Endpoint Detection and Response Optimum входит в лицензию.
   • Компонент Endpoint Detection and Response Optimum включен.
   • Компоненты программы, которые обеспечивают работу Endpoint Detection and Response Optimum, включены и работают. Работу компонента обеспечивают следующие компоненты:
     • Защита от файловых угроз.
     • Защита от веб-угроз.
     • Защита от почтовых угроз.
     • Защита от эксплойтов.
     • Анализ поведения.
     • Предотвращение вторжений.
     • Откат вредоносных действий.
     • Адаптивный контроль аномалий.

   Как включить или выключить компонент Endpoint Detection and Response Optimum в Web Console

   1. В главном окне Web Console выберите Устройства → Политики и профили политик.
   2. Нажмите на название политики Kaspersky Endpoint Security.

      Откроется окно свойств политики.

   3. Выберите закладку Параметры программы.
   4. Перейдите в раздел Detection and Response → Endpoint Detection and Response Optimum.
   5. Включите переключатель Endpoint Detection and Response Optimum.
   6. Сохраните внесенные изменения.

   В результате компонент Kaspersky Endpoint Detection and Response Optimum будет включен. Проверьте статус работы компонента с помощью отчета Отчет о статусе компонентов программы. Также вы можете посмотреть статус работы компонента в локальном интерфейсе Kaspersky Endpoint Security в отчетах. В список компонентов Kaspersky Endpoint Security будет добавлен компонент Endpoint Detection and Response Optimum.

4. Включение передачи данных на Сервер администрирования

   Для работы всех функций EDR Optimum должна быть включена передача следующих данных:

   • Данные о файлах карантина.

     Данные нужны для получения информации о помещенных на компьютере файлах на карантин в Web Console. В Web Console вы можете, например, загрузить файл из карантина на компьютер для анализа.

   • Данные о цепочке развития угрозы.

     Данные нужны для получения информации об обнаруженных на компьютере угрозах в Web Console. В Web Console вы можете просматривать детали обнаружения и выполнять действия по реагированию.

   Как включить передачу данных на Сервер администрирования в Web Console

   1. В главном окне Web Console выберите Устройства → Политики и профили политик.
   2. Нажмите на название политики Kaspersky Endpoint Security.

      Откроется окно свойств политики.

   3. Выберите закладку Параметры программы.
   4. Перейдите в раздел Общие настройки → Отчеты и хранилище.
   5. В блоке Передача данных на Сервер администрирования установите следующие флажки:
      • О файлах на карантине.
      • О цепочке развития угрозы.
   6. Сохраните внесенные изменения.

Миграция из Kaspersky Endpoint Agent на Kaspersky Endpoint Security для Windows

Если вы используете Kaspersky Endpoint Security 11.7.0 и выше с установленным компонентом EDR Optimum (встроенный агент), для работы решения Kaspersky Endpoint Detection and Response Optimum дополнительных действий не требуется. Компонент EDR Optimum несовместим с программой Kaspersky Endpoint Agent. Если на компьютере установлена программа Kaspersky Endpoint Agent, при обновлении Kaspersky Endpoint Security до версии 11.7.0 решение Kaspersky Endpoint Detection and Response Optimum продолжит работу с Kaspersky Endpoint Security. Также Kaspersky Endpoint Agent будет удален с компьютера. Для завершения миграции из Kaspersky Endpoint Agent на Kaspersky Endpoint Security для Windows вам нужно перенести параметры политик и задач с помощью мастера миграции.

Если вы используете Kaspersky Endpoint Security 11.4.0-11.6.0 для взаимодействия с Kaspersky Endpoint Detection and Response Optimum, в состав программы включена программа Kaspersky Endpoint Agent. Вы можете установить Kaspersky Endpoint Agent совместно с Kaspersky Endpoint Security.

Компонент EDR Optimum в составе Kaspersky Endpoint Security поддерживает работу с решением Kaspersky Endpoint Detection and Response Optimum версии 2.0. Работа с решением Kaspersky Endpoint Detection and Response Optimum версии 1.0 не поддерживается.

Поиск индикаторов компрометации (IOC)

Индикатор компрометации (Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к компьютеру (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему. Задача Поиск IOC позволяет обнаруживать индикаторы компрометации на компьютере и выполнять действия по реагированию на угрозы.

Для поиска индикаторов компрометации Kaspersky Endpoint Security использует IOC-файлы. IOC-файлы – файлы, содержащие набор индикаторов, при совпадении с которыми программа считает событие обнаружением. IOC-файлы должны соответствовать стандарту описания OpenIOC. Kaspersky Endpoint Security создает IOC-файлы автоматически, а также позволяет загружать IOC-файлы, подготовленные пользователем. Если вы хотите добавить индикатор компрометации вручную, ознакомьтесь с требованиями к IOC-файлам.

В файле, который можно загрузить по ссылке ниже, приведена таблица с полным списком IOC-терминов стандарта OpenIOC, поддерживаемых решением Kaspersky Endpoint Detection and Response.

ЗАГРУЗИТЬ ФАЙЛ IOC_TERMS.XLSX

Режимы запуска задачи Поиск IOC

Kaspersky Endpoint Security позволяет запускать задачи Поиск IOC в следующих режимах:

• Стандартная задача поиска IOC – групповая или локальная задача, которые создаются и настраиваются вручную в Web Console. Для запуска задач используются IOC-файлы, подготовленные пользователем.
• Автономная задача поиска IOC – групповая задача, которая создается автоматически при реагировании на угрозу, обнаруженную Kaspersky Sandbox. Kaspersky Endpoint Security автоматически формирует IOC-файл. Работа с пользовательскими IOC-файлами не предусмотрена. Задачи автоматически удаляются через семь дней после последнего запуска или с момента создания, если задачи не запускались. Подробнее об автономных задачах поиска IOC см. в справке Kaspersky Sandbox.

Запуск задачи Поиск IOC

При реагировании на угрозы Kaspersky Sandbox может автоматически создавать задачи Поиск IOC. В Kaspersky Endpoint Detection and Response Optimum вы можете создавать задачи Поиск IOC только вручную.

Вы можете создавать задачи Поиск IOC вручную следующими способами:

• В деталях обнаружения.

  Детали обнаружения – инструмент для просмотра всей собранной информации об обнаруженной угрозе и управления действиями по реагированию. Детали обнаружения содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями обнаружения см. справке Kaspersky Endpoint Detection and Response Optimum.

• С помощью мастера создания задач.

Вы можете настроить параметры задачи только в Web Console.

Для создания автономных задач поиска IOC при реагировании на угрозы требуется Kaspersky Security Center версии 13.2.

Чтобы создать задачу Поиск IOC, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Задачи.

   Откроется список задач.

2. Нажмите на кнопку Добавить.

   Запустится мастер создания задачи.

3. Настройте параметры задачи:
   1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.7.0).
   2. В раскрывающемся списке Тип задачи выберите Поиск IOC.
   3. В поле Название задачи введите короткое описание задачи.
   4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.
4. Выберите устройства в соответствии с выбранным вариантом области действия задачи. Нажмите на кнопку Далее.
5. Выберите учетную запись пользователя, права которого требуется использовать для запуска задачи. Нажмите на кнопку Далее.

   По умолчанию Kaspersky Endpoint Security запускает задачу под системной учетной записью (SYSTEM).

   У системной учетной записи (SYSTEM) отсутствуют права на выполнение задачи Поиск IOC на сетевых дисках. Если вы хотите выполнить задачу на сетевом диске, выберите учетную запись пользователя, у которого есть доступ к этому диску.

   Для работы автономных задач поиска IOC на сетевых дисках вам нужно вручную выбрать учетную запись пользователя, у которого есть доступ к этом диску, в свойствах задачи.

6. Завершите работу мастера по кнопке Готово.

   В списке задач отобразится новая задача.

7. Нажмите на новую задачу.

   Откроется окно свойств задачи.

8. Выберите закладку Параметры программы.
9. Перейдите в раздел Настройки поиска IOC.
10. Загрузите IOC-файлы для поиска индикаторов компрометации.

    После загрузки IOC-файлов вы можете просмотреть список индикаторов из IOC-файлов. Если требуется, вы можете временно выключить IOC-файлы из области действия задачи.

    Не рекомендуется добавлять или удалять IOC-файлы после запуска задачи. Это может привести к некорректному отображению результатов поиска IOC для предыдущих запусков задачи. Для поиска индикаторов компрометации по новым IOC-файлам рекомендуется добавлять новые задачи.

11. Настройте действия при обнаружении индикатора компрометации:
    • Изолировать компьютер от сети. Если выбран этот вариант действия, то Kaspersky Endpoint Security изолирует компьютер от сети для предотвращения распространения угрозы. Вы можете настроить время изоляции в параметрах компонента Endpoint Detection and Response.
    • Копию поместить на карантин, объект удалить. Если выбран этот вариант действия, то Kaspersky Endpoint Security удаляет вредоносный объект, обнаруженный на компьютере. Перед удалением объекта Kaspersky Endpoint Security формирует его резервную копию на тот случай, если впоследствии понадобится восстановить объект. Kaspersky Endpoint Security помещает резервную копию на карантин.
    • Запускать проверку важных областей. Если выбран этот вариант действия, то Kaspersky Endpoint Security запускает задачу Проверка важных областей. По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы.
12. Перейдите в раздел Дополнительно.
13. Выберите типы данных (IOC-документы), которые необходимо анализировать во время выполнения задачи.

    Kaspersky Endpoint Security автоматически выбирает типы данных (IOC-документы) для задачи Поиск IOC в соответствии с содержанием загруженных IOC-файлов. Не рекомендуется самостоятельно отменять выбор типов данных.

    Дополнительно вы можете настроить области поиска для следующих типов данных:

    • Файлы - FileItem. Задайте область поиска IOC на компьютере с помощью предустановленных областей.

      По умолчанию Kaspersky Endpoint Security выполняет поиск IOC только в важных областях компьютера, таких как папки Загрузки, Рабочий стол, папка с временными файлами операционной системы и другие. Также вы можете добавить области поиска вручную.

    • Журналы событий Windows - EventLogItem. Задайте период времени, в течение которого зафиксированы события. Также вы можете выбрать журналы событий Windows для поиска IOC: журнал событий приложений, журнал системных событий или журнал событий безопасности.

    Для типа данных Реестр Windows - RegistryItem Kaspersky Endpoint Security анализирует определенный набор разделов реестра.

14. Нажмите на кнопку Сохранить.
15. Установите флажок напротив задачи.
16. Нажмите на кнопку Запустить.

В результате Kaspersky Endpoint Security запустит поиск индикаторов компрометации на компьютере. Вы можете просмотреть результаты выполнения задачи в свойствах задачи в разделе Результаты. Информацию об обнаруженных индикаторах компрометации вы можете посмотреть в свойствах задачи Параметры программы → Результаты поиска IOC.

Срок хранения результатов поиска IOC составляет 30 дней. По истечении этого времени Kaspersky Endpoint Security автоматически удаляет старые записи.

Помещение файла на карантин

При реагировании на угрозы Kaspersky Endpoint Detection and Response Optimum может создавать задачи Помещение файла на карантин. Карантин – это специальное локальное хранилище на компьютере, в которое помещаются файлы, возможно зараженные вирусами или неизлечимые. Файлы на карантине хранятся в зашифрованном виде и не угрожают безопасности устройства. Kaspersky Endpoint Security использует карантин только при работе с решениями Kaspersky Sandbox и Kaspersky Endpoint Detection and Response Optimum. В остальных случаях Kaspersky Endpoint Security помещает файл в резервное хранилище. Подробнее о работе с карантином в составе решений см. в справке Kaspersky Sandbox и Kaspersky Endpoint Detection and Response Optimum.

Вы можете создавать задачи Помещение файла на карантин следующими способами:

• В деталях обнаружения.

  Детали обнаружения – инструмент для просмотра всей собранной информации об обнаруженной угрозе и управления действиями по реагированию. Детали обнаружения содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями обнаружения см. справке Kaspersky Endpoint Detection and Response Optimum.

• С помощью мастера создания задач.

  Вам нужно ввести путь к файлу или хеш файла (SHA256 или MD5), или путь к файлу и хеш файла.

Размер файла не должен превышать 100 МБ.

Вы можете настроить параметры задачи только в Web Console.

Чтобы создать задачу Помещение файла на карантин, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Задачи.

   Откроется список задач.

2. Нажмите на кнопку Добавить.

   Запустится мастер создания задачи.

3. Настройте параметры задачи:
   1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.7.0).
   2. В раскрывающемся списке Тип задачи выберите Помещение файла на карантин.
   3. В поле Название задачи введите короткое описание задачи.
   4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.
4. Выберите устройства в соответствии с выбранным вариантом области действия задачи. Нажмите на кнопку Далее.
5. Выберите учетную запись пользователя, права которого требуется использовать для запуска задачи. Нажмите на кнопку Далее.

   По умолчанию Kaspersky Endpoint Security запускает задачу под системной учетной записью (SYSTEM).

6. Завершите работу мастера по кнопке Готово.

   В списке задач отобразится новая задача.

7. Нажмите на новую задачу.

   Откроется окно свойств задачи.

8. Выберите закладку Параметры программы.
9. В списке файлов нажмите на кнопку Добавить.

   Запустится мастер добавления файла.

10. Для добавления файла вам нужно ввести полный путь к файлу или хеш файла и путь к файлу.

    Если файл расположен на сетевом диске, введите путь к файлу начиная с символов \\, а не с буквы диска. Например, \\server\shared_folder\file.exe. Если путь к файлу содержит букву сетевого диска, вы можете получить ошибку Файл не найден.

11. Нажмите на кнопку Сохранить.
12. Установите флажок напротив задачи.
13. Нажмите на кнопку Запустить.

В результате Kaspersky Endpoint Security переместит файл в карантин. Если файл заблокирован другим процессом, то задача будет отображаться со статусом Выполнено, но сам файл будет помещен на карантин только после перезагрузки компьютера. После перезагрузки компьютера убедитесь, что файл удален.

Задача Помещение файла на карантин может быть завершена с ошибкой Доступ запрещен, если вы пытаетесь поместить на карантин запущенный исполняемый файл. Создайте задачу завершения процесса для этого файла, а затем повторите попытку.

Задача Помещение файла на карантин может быть завершена с ошибкой Недостаточно места в хранилище карантина, если вы пытаетесь поместить на карантин большой файл. Очистите карантин или увеличьте размер карантина. Затем повторите попытку.

Вы можете восстановить файл из карантина или очистить карантин в Web Console. Восстановление объектов доступно на компьютере локально из командной строки.

Получение файла

Вы можете получать файлы с компьютеров пользователей. Например, вы можете настроить получение файла журнала событий, который создает сторонняя программа. Для получения файла вам нужно создать специальную задачу. В результате выполнения задачи файл будет сохранен в карантине. Вы можете загрузить этот файл на компьютер из карантина в Web Console. При этом на компьютере пользователя файл остается в исходной папке.

Размер файла не должен превышать 100 МБ.

Вы можете настроить параметры задачи только в Web Console.

Чтобы создать задачу Получение файла, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Задачи.

   Откроется список задач.

2. Нажмите на кнопку Добавить.

   Запустится мастер создания задачи.

3. Настройте параметры задачи:
   1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.7.0).
   2. В раскрывающемся списке Тип задачи выберите Получение файла.
   3. В поле Название задачи введите короткое описание задачи.
   4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.
4. Выберите устройства в соответствии с выбранным вариантом области действия задачи. Нажмите на кнопку Далее.
5. Выберите учетную запись пользователя, права которого требуется использовать для запуска задачи. Нажмите на кнопку Далее.

   По умолчанию Kaspersky Endpoint Security запускает задачу под системной учетной записью (SYSTEM).

6. Завершите работу мастера по кнопке Готово.

   В списке задач отобразится новая задача.

7. Нажмите на новую задачу.

   Откроется окно свойств задачи.

8. Выберите закладку Параметры программы.
9. В списке файлов нажмите на кнопку Добавить.

   Запустится мастер добавления файла.

10. Для добавления файла вам нужно ввести полный путь к файлу или хеш файла и путь к файлу.

    Если файл расположен на сетевом диске, введите путь к файлу начиная с символов \\, а не с буквы диска. Например, \\server\shared_folder\file.exe. Если путь к файлу содержит букву сетевого диска, вы можете получить ошибку Файл не найден.

11. Нажмите на кнопку Сохранить.
12. Установите флажок напротив задачи.
13. Нажмите на кнопку Запустить.

В результате Kaspersky Endpoint Security создаст копию файла и поместит копию в карантин. Вы можете загрузить файл из карантина в Web Console.

Удаление файла

Вы можете удаленно удалять файлы с помощью задачи Удаление файла. Например, вы можете удаленно удалить файл при реагировании на угрозы.

Вы можете настроить параметры задачи только в Web Console.

Чтобы создать задачу Удаление файла, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Задачи.

   Откроется список задач.

2. Нажмите на кнопку Добавить.

   Запустится мастер создания задачи.

3. Настройте параметры задачи:
   1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.7.0).
   2. В раскрывающемся списке Тип задачи выберите Удаление файла.
   3. В поле Название задачи введите короткое описание задачи.
   4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.
4. Выберите устройства в соответствии с выбранным вариантом области действия задачи. Нажмите на кнопку Далее.
5. Выберите учетную запись пользователя, права которого требуется использовать для запуска задачи. Нажмите на кнопку Далее.

   По умолчанию Kaspersky Endpoint Security запускает задачу под системной учетной записью (SYSTEM).

6. Завершите работу мастера по кнопке Готово.

   В списке задач отобразится новая задача.

7. Нажмите на новую задачу.

   Откроется окно свойств задачи.

8. Выберите закладку Параметры программы.
9. В списке файлов нажмите на кнопку Добавить.

   Запустится мастер добавления файла.

10. Для добавления файла вам нужно ввести полный путь к файлу или хеш файла и путь к файлу.

    Если файл расположен на сетевом диске, введите путь к файлу начиная с символов \\, а не с буквы диска. Например, \\server\shared_folder\file.exe. Если путь к файлу содержит букву сетевого диска, вы можете получить ошибку Файл не найден.

11. Нажмите на кнопку Сохранить.
12. Установите флажок напротив задачи.
13. Нажмите на кнопку Запустить.

В результате Kaspersky Endpoint Security удалит файл с компьютера. Если файл заблокирован другим процессом, то задача будет отображаться со статусом Выполнено, но сам файл будет удален только после перезагрузки компьютера. После перезагрузки компьютера убедитесь, что файл удален.

Задача Удаление файла может быть завершена с ошибкой Доступ запрещен, если вы пытаетесь удалить запущенный исполняемый файл. Создайте задачу завершения процесса для этого файла, а затем повторите попытку.

Запуск процесса

Вы можете удаленно запускать файлы с помощью задачи Запуск процесса. Например, вы можете удаленно запускать утилиту, которая создает файл с конфигурацией компьютера. Далее с помощью задачи Получить файл, вы можете получить созданный файл в Kaspersky Security Center Web Console.

Вы можете настроить параметры задачи только в Web Console.

Чтобы создать задачу Запуск процесса, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Задачи.

   Откроется список задач.

2. Нажмите на кнопку Добавить.

   Запустится мастер создания задачи.

3. Настройте параметры задачи:
   1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.7.0).
   2. В раскрывающемся списке Тип задачи выберите Запуск процесса.
   3. В поле Название задачи введите короткое описание задачи.
   4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.
4. Выберите устройства в соответствии с выбранным вариантом области действия задачи. Нажмите на кнопку Далее.
5. Выберите учетную запись пользователя, права которого требуется использовать для запуска задачи. Нажмите на кнопку Далее.

   По умолчанию Kaspersky Endpoint Security запускает задачу под системной учетной записью (SYSTEM).

6. Завершите работу мастера по кнопке Готово.

   В списке задач отобразится новая задача.

7. Нажмите на новую задачу.
8. Откроется окно свойств задачи.
9. Выберите закладку Параметры программы.
10. Введите команду запуска процесса.

    Например, если вы хотите запустить утилиту (utility.exe), которая сохраняет информацию о конфигурации компьютера в файл conf.txt, вам нужно ввести следующие значения:

    • Исполняемая команда – utility.exe
    • Аргументы командной строки – /R conf.txt
    • Путь к рабочей папке – C:\Users\admin\Diagnostic\

    Также вы можете в поле Исполняемая команда ввести значение C:\Users\admin\Diagnostic\utility.exe /R conf.txt. В этом случае другие параметры указывать не требуется.

11. Нажмите на кнопку Сохранить.
12. Установите флажок напротив задачи.
13. Нажмите на кнопку Запустить.

В результате Kaspersky Endpoint Security выполнит команду в тихом режиме и запустит процесс. Вы можете просмотреть результаты выполнения задачи в свойствах задачи в разделе Результаты.

Завершение процесса

Вы можете удаленно завершать процессы с помощью задачи Завершение процесса. Например, вы можете удаленно завершить работу утилиты проверки скорости интернета, которая была запущена с помощью задачи Запуск процесса.

Если вы хотите запретить запуск файла, вы можете настроить компонент Запрет запуска объектов. Вы можете запретить запуск исполняемых файлов, скриптов, файлов офисного формата.

Задача Завершение процесса имеет следующие ограничения:

• Завершить процессы критически важных системных объектов (англ. System Critical Object – SCO) невозможно. К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security для Windows.
• Вы можете настроить параметры задачи для EDR Optimum в Web Console и Cloud Console. Параметры задачи для EDR Expert доступны только в Cloud Console.

Чтобы создать задачу Завершение процесса, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Задачи.

   Откроется список задач.

2. Нажмите на кнопку Добавить.

   Запустится мастер создания задачи.

3. Настройте параметры задачи:
   1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.7.0).
   2. В раскрывающемся списке Тип задачи выберите Завершение процесса.
   3. В поле Название задачи введите короткое описание задачи.
   4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.
4. Выберите устройства в соответствии с выбранным вариантом области действия задачи. Нажмите на кнопку Далее.
5. Выберите учетную запись пользователя, права которого требуется использовать для запуска задачи. Нажмите на кнопку Далее.

   По умолчанию Kaspersky Endpoint Security запускает задачу под системной учетной записью (SYSTEM).

6. Завершите работу мастера по кнопке Готово.

   В списке задач отобразится новая задача.

7. Нажмите на новую задачу.

   Откроется окно свойств задачи.

8. Выберите закладку Параметры программы.
9. Для завершения процесса вам нужно выбрать файл, работу которого вы хотите завершить. Вы можете выбрать файл следующими способами:
   • Введите полный путь к файлу.
   • Введите хеш файла и путь к файлу.
   • Введите идентификатор процесса PID (только для локальных задач).

   Если файл расположен на сетевом диске, введите путь к файлу начиная с символов \\, а не с буквы диска. Например, \\server\shared_folder\file.exe. Если путь к файлу содержит букву сетевого диска, вы можете получить ошибку Файл не найден.

10. В окне свойств задачи выберите закладку Расписание.
11. Настройте расписание запуска задачи.

    Для этой задачи функция Wake-on-LAN недоступна. Убедитесь, что компьютер включен для выполнения задачи.

12. Нажмите на кнопку Сохранить.
13. Установите флажок напротив задачи.
14. Нажмите на кнопку Запустить.

В результате Kaspersky Endpoint Security завершит процесс на компьютере. Например, если на компьютере запущено приложение GAME и вы завершили процесс game.exe, приложение будет закрыто без сохранения данных. Вы можете просмотреть результаты выполнения задачи в свойствах задачи в разделе Результаты.

Запрет запуска объектов

Запрет запуска объектов позволяет контролировать запуск исполняемых файлов и скриптов, а также открытие файлов офисного формата. Таким образом, вы можете, например, запретить запуск программ, использование которых считаете небезопасным. Запрет запуска объектов поддерживает определенный набор расширений файлов офисного формата и определенный набор интерпретаторов скриптов.

Правило запрета запуска

Запрет запуска объектов управляет доступом пользователей к файлам с помощью правил запрета запуска. Правило запрета запуска – это набор критериев, которые учитываются при выполнении блокировки. Программа идентифицирует файлы по их пути или контрольной сумме с помощью алгоритмов хеширования MD5 и SHA256.

Вы можете создавать правила запрета запуска следующими способами:

• В деталях обнаружения.

  Детали обнаружения – инструмент для просмотра всей собранной информации об обнаруженной угрозе и управления действиями по реагированию. Детали обнаружения содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями обнаружения см. справке Kaspersky Endpoint Detection and Response Optimum.

• С помощью групповой политики или локальных параметров программы.

  Вам нужно ввести путь к файлу или хеш файла (SHA256 или MD5), или путь к файлу и хеш файла.

Вы также можете управлять Запретом запуска объектов локально из командной строки.

Не рекомендуется создавать более 5000 правил запрета запуска, поскольку это может привести к нестабильности системы.

Правила запрета не распространяются на файлы, расположенные на компакт-дисках или в ISO-образах. Программа не будет блокировать исполнение или открытие этих файлов.

Режимы применения правил запрета запуска

Компонент Запрет запуска объектов может работать в двух режимах:

• Только статистика.

  В этом режиме Kaspersky Endpoint Security публикует в Журнал событий Windows и Kaspersky Security Center событие о попытках запуска исполняемых объектов или открытия документов, соответствующих критериям правил запрета, но не блокирует их запуск или открытие. Этот режим выбран по умолчанию.

• Активный.

  В этом режиме программа блокирует запуск объектов или открытие документов, соответствующих критериям правил запрета. Также программа публикует в журнал событий Windows и Kaspersky Security Center событие о попытках запуска объектов или открытия документов.

Управление Запретом запуска объектов

Вы можете настроить параметры компонента только в Web Console.

Чтобы запретить запуск объектов, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.

   Откроется окно свойств политики.

3. Выберите закладку Параметры программы.
4. Перейдите в раздел Detection and Response → Endpoint Detection and Response.
5. Используйте переключатель Запрет запуска, чтобы включить или выключить компонент.
6. В блоке Действие при запуске или открытии объекта выберите режим работы компонента:
   • Блокировать и записывать в отчет. В этом режиме программа блокирует запуск объектов или открытие документов, соответствующих критериям правил запрета. Также программа публикует в журнал событий Windows и Kaspersky Security Center событие о попытках запуска объектов или открытия документов.
   • Только записывать в отчет. В этом режиме Kaspersky Endpoint Security публикует в Журнал событий Windows и Kaspersky Security Center событие о попытках запуска исполняемых объектов или открытия документов, соответствующих критериям правил запрета, но не блокирует их запуск или открытие. Этот режим выбран по умолчанию.
7. Сформируйте список правил запрета запуска:
   1. Нажмите на кнопку Добавить.
   2. В открывшемся окне введите имя правила запрета запуска (например, Программа A).
   3. В раскрывающемся списке Тип выберите объект, который вы хотите заблокировать: Исполняемый файл, Скрипт, Файл офисного формата.

      Если вы выберите неверный тип объекта, Kaspersky Endpoint Security не заблокирует файл или скрипт.

   4. Для добавления файла вам нужно ввести хеш файла (SHA256 или MD5) или полный путь к файлу, или хеш файла и путь к файлу.

      Если файл расположен на сетевом диске, введите путь к файлу начиная с символов \\, а не с буквы диска. Например, \\server\shared_folder\file.exe. Если путь к файлу содержит букву сетевого диска, Kaspersky Endpoint Security не заблокирует файл или скрипт.

      Запрет запуска объектов поддерживает определенный набор расширений файлов офисного формата и определенный набор интерпретаторов скриптов.

   5. Нажмите на кнопку ОК.
8. Сохраните внесенные изменения.

В результате Kaspersky Endpoint Security будет блокировать запуск объектов: запуск исполняемых файлов, скриптов и открытие файлов офисного формата. При этом вы можете, например, открыть файл скрипта в текстовом редакторе, даже если запуск скрипта запрещен. При блокировании запуска объекта Kaspersky Endpoint Security покажет пользователю стандартное уведомление программы (см. рис. ниже), если уведомления включены в настройках программы.

Уведомление Запрета запуска объектов

Сетевая изоляция компьютера

Сетевая изоляция позволяет автоматически изолировать компьютеры от сети, в результате реагирования на обнаружение индикатора компрометации (IOC) – автоматический режим. Также вы можете включить Сетевую изоляцию вручную на время исследования обнаруженной угрозы – ручной режим.

После включения Сетевой изоляции приложение разрывает все активные и блокирует все новые сетевые соединения TCP/IP на компьютере, кроме следующих соединений:

• соединения, указанные в исключениях из Сетевой изоляции;
• соединения, инициированные службами Kaspersky Endpoint Security;
• соединения, инициированные Агентом администрирования Kaspersky Security Center.

Вы можете настроить параметры компонента только в Web Console.

Автоматический режим Сетевой изоляции

Вы можете настроить автоматическое включение Сетевой изоляции, в результате реагирования на обнаружение IOC. Для настройки автоматического режима Сетевой изоляции предназначена групповая политика.

Как настроить автоматическое включение Сетевой изоляции компьютера при обнаружении IOC

Вы можете настроить автоматическое выключение Сетевой изоляции по истечении заданного периода времени. По умолчанию приложение выключает Сетевую изоляцию через 8 часов с момента включения. Также вы можете выключить Сетевую изоляцию вручную (см. инструкцию ниже). После выключения Сетевой изоляции компьютер может работать в сети без ограничений.

Как задать период выключения Сетевой изоляции компьютера в автоматическом режиме

Ручной режим Сетевой изоляции

Вы можете включать или выключать Сетевую изоляцию вручную. Для настройки ручного режим Сетевой изоляции предназначены свойства компьютера в консоли Kaspersky Security Center.

Вы можете включить Сетевую изоляцию следующими способами:

• В деталях обнаружения (только для EDR Optimum).

  Детали обнаружения – инструмент для просмотра всей собранной информации об обнаруженной угрозе. Детали обнаружения содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями обнаружения см. в справке Kaspersky Endpoint Detection and Response Optimum и в справке Kaspersky Endpoint Detection and Response Expert.

• С помощью локальных параметров приложения.

Как вручную включить Сетевую изоляцию компьютера

Вы можете настроить автоматическое выключение Сетевой изоляции по истечении заданного периода времени. По умолчанию приложение выключает Сетевую изоляцию через 8 часов с момента включения. После выключения Сетевой изоляции компьютер может работать в сети без ограничений.

Как задать период выключения Сетевой изоляции компьютера в ручном режиме

Как вручную выключить Сетевую изоляцию компьютера

Вы также можете выключить Сетевую изоляцию локально из командной строки.

Исключения из Сетевой изоляции

Вы можете задать исключения из Сетевой изоляции. Сетевые соединения, подпадающие под заданные правила, не будут заблокированы на компьютере после включения Сетевой изоляции.

Для настройки исключений из Сетевой изоляции в приложении доступен список стандартных сетевых профилей. По умолчанию в исключения входят сетевые профили, состоящие из правил, обеспечивающих бесперебойную работу устройств с ролями DNS/DHCP-сервер и DNS/DHCP-клиент. Также вы можете изменить параметры стандартных сетевых профилей или задать исключения вручную (см. инструкцию ниже).

Исключения, заданные в свойствах политики, применяются, только если Сетевая изоляция включена приложением автоматически, в результате реагирования на обнаружение угрозы. Исключения, заданные в свойствах компьютера, применяются, только если Сетевая изоляция включена вручную в свойствах компьютера в консоли Kaspersky Security Center или в деталях обнаружения.

Активная политика не блокирует применение исключений из Сетевой изоляции, заданных в свойствах компьютера, так как сценарии применения этих параметров разные.

Как добавить исключение из Сетевой изоляции в автоматическом режиме

Как добавить исключение из Сетевой изоляции в ручном режиме

Вы также можете просмотреть список исключений из Сетевой изоляции локально из командной строки. При этом компьютер должен быть изолирован.