Endpoint Detection and Response

Kaspersky Endpoint Security 11.7.0 具有 Kaspersky Endpoint Detection and Response Optimum 解决方案(也叫 “EDR Optimum”)的内置代理。Kaspersky Endpoint Detection and Response Optimum 是一种保护组织 IT 基础架构免受高级网络威胁的解决方案。该解决方案的功能将自动检测威胁与应对这些威胁的能力结合起来,以抵御高级攻击,包括新的漏洞利用、勒索软件、无文件攻击以及使用合法系统工具的方法。有关该解决方案的更多信息,请参阅 Kaspersky Endpoint Detection and Response Optimum 帮助

Kaspersky Endpoint Detection and Response Optimum 审查和分析威胁发展,并向安全人员管理员提供及时响应所需的潜在攻击信息。Kaspersky Endpoint Detection and Response 在单独的窗口显示警报详情。警报详情是一种工具,用于查看所收集的有关检测到的威胁的全部信息并管理响应操作。警报详情包括,例如,出现在计算机的文件历史。有关管理警报详情的更多信息,请参阅 Kaspersky Endpoint Detection and Response Optimum 帮助。

该解决方案使用以下威胁情报工具:

Kaspersky Endpoint Detection and Response Optimum 需要 Kaspersky Security Center 版本 13.2。在 Kaspersky Security Center 的早期版本中,无法激活 EDR Optimum 功能。

该组件只能使用 Web Console 进行管理。您无法使用管理控制台(MMC)管理此组件。

与 Kaspersky Endpoint Detection and Response Optimum 的整合

与 Kaspersky Endpoint Detection and Response Optimum 的整合包括以下步骤:

  1. 安装 Kaspersky Endpoint Detection and Response Optimum 组件

    您可以在安装升级过程中选择 Endpoint Detection and Response Optimum 组件,也可以使用更改应用程序组件任务。

    执行“更改应用程序组件”任务后,任务的状态显示不正确。任务的状态不是“已成功完成”,而是“已计划”。然而,任务仍然是成功完成的。确保新组件安装在 Kaspersky Security Center 控制台的计算机属性中(应用程序Kaspersky Endpoint Security for Windows组件)或本地应用程序接口中。

  2. 激活 Kaspersky Endpoint Detection and Response Optimum

    您可以通过以下方式获得使用 Kaspersky Endpoint Detection and Response Optimum 的授权许可:

    • EDR Optimum 功能包含在 Kaspersky Endpoint Security for Windows 的授权许可中。

      该功能将在激活 Kaspersky Endpoint Security for Windows 后立即可用。

    • 使用 Optimum 的授权许可扩展。

      该功能将在您为 Kaspersky Endpoint Detection and Response 添加单独密钥后可用。因此,计算机上将安装两个密钥:Kaspersky Endpoint Security 密钥和 Kaspersky Endpoint Detection and Response Optimum 密钥。

      单个EDR Optimum 功能的授权许可与 Kaspersky Endpoint Security 的授权许可没有区别。

    确保授权许可中包含 EDR Optimium 功能,并且该功能正在应用程序的本地界面中运行。

  3. 启用 Endpoint Detection and Response Optimum 组件

    您可以在 Kaspersky Endpoint Security for Windows 策略设置中启用或禁用组件。

    要使用该组件,必须满足以下条件:

    如何在 Web Console 中启用或禁用 Endpoint Detection and Response Optimum 组件

    Kaspersky Endpoint Detection and Response Optimum 组件被启用。通过查看应用程序组件状态报告检查组件的操作状态。您也可以利用 Kaspersky Endpoint Security 的本地界面在报告中查看组件的操作状态。Endpoint Detection and Response Optimum 组件被添加到 Kaspersky Endpoint Security 组件列表。

  4. 启用到管理服务器的数据传输

    要启用所有 EDR Optimum 功能,需要对以下数据类型启用传输:

    • 隔离文件数据。

      这些数据是通过 Web 控制台获取计算机上隔离的文件信息所必需的。例如,您可以从隔离区下载一个文件,以便在 Web 控制台中进行分析。

    • 威胁发展链数据。

      这些数据是在 Web 控制台中获取计算机上检测到的威胁的信息所必需的。您可以在 Web 控制台中查看警报详细信息并采取响应操作。

    如何在 Web 控制台中启用到管理服务器的数据传输

从 Kaspersky Endpoint Agent 迁移到 Kaspersky Endpoint Security for Windows

如果您正在使用安装了 EDR Optimum 组件(内部代理)的 Kaspersky Endpoint Security 11.7.0 或后续版本,您无需为 Kaspersky Endpoint Detection and Response Optimum 解决方案执行任何操作。EDR Optimum 组件与 Kaspersky Endpoint Agent 不兼容。如果计算机上安装了 Kaspersky Endpoint Agent,当 Kaspersky Endpoint Security 被更新到版本 11.7.0 时,Kaspersky Endpoint Detection and Response Optimum 继续配合 Kaspersky Endpoint Security 一起工作。此外,Kaspersky Endpoint Agent 将被从计算机卸载。要完成从 Kaspersky Endpoint Agent 到 Kaspersky Endpoint Security for Windows 的迁移,您需要使用迁移向导传送策略和任务设置。

如果您正在使用 Kaspersky Endpoint Security 11.4.0–11.6.0 与 Kaspersky Endpoint Detection and Response Optimum 进行互操作,则应用程序包含 Kaspersky Endpoint Agent。您可以将 Kaspersky Endpoint Agent 与 Kaspersky Endpoint Security 一起安装。

作为 Kaspersky Endpoint Security 一部分的 EDR Optimum 组件支持与 Kaspersky Endpoint Detection and Response Optimum 2.0 解决方案的交互。与 Kaspersky Endpoint Detection and Response Optimum 版本 1.0 的交互不被支持。

本部分内容

妥协的指标 (IOC) 扫描

移动文件到隔离区

获取文件

删除文件

进程启动

终止进程

执行防护

计算机网络隔离

页面顶部