Endpoint Detection and Response
|
Kaspersky Endpoint Security 11.7.0 現在有 Kaspersky Endpoint Detection and Response Optimum 解決方案(以下也稱為 "EDR Optimum")的內建代理。Kaspersky Endpoint Detection and Response Optimum 是用於防護組織的 IT 基礎架構抵禦進階網路威脅的解決方案。該解決方案的功能結合了自動偵測威脅和回應這些威脅的能力,以抵消包括新漏洞、勒索軟體、無檔案攻擊以及使用合法系統工具的方法。有關解決方案的更多資訊,請參見Kaspersky Endpoint Detection and Response Optimum 說明。 Kaspersky Endpoint Detection and Response Optimum 會檢閱和分析威脅發展並向安全人員或者管理員提供有關需要作出及時回應的潛在攻擊的資訊。Kaspersky Endpoint Detection and Response 會在單獨視窗中顯示偵測詳情。偵測詳情是一款用來檢視有關被偵測的威脅的整個收集資訊和管理回應操作的工具。偵測詳情包括,例如,出現在電腦上的檔案的歷史。有關偵測詳情的詳細資訊,請參閱Kaspersky Endpoint Detection and Response Optimum 說明。 |
該工具使用以下威脅情報工具:
- 卡巴斯基安全網路(以下也稱為 "KSN")雲端服務基礎架構,提供對即時檔案、網站、和來自卡巴斯基知識庫的軟體信譽資訊的存取。使用卡巴斯基安全網路的資料可確保 Kaspersky Endpoint Security 能夠更快地對威脅作出回應,提高一些防護元件的效能,並減少誤報風險。
- 與卡巴斯基私有安全網路(以下也稱為 "KPSN")的整合,允許使用者獲取對 KSN 信譽資料庫以及其它統計資料的存取而無需從其電腦傳送資料到 KSN。
- 與 Kaspersky Threat Intelligence Portal 資訊系統的整合,包含和顯示有關檔案和網址信譽的資訊。
- Kaspersky 威脅資料庫。
Kaspersky Endpoint Detection and Response Optimum 需要卡巴斯基安全管理中心 13.2 版。在早期版本的卡巴斯基安全管理中心中,無法啟動 EDR Optimum 功能。
該元件只可以使用網頁主控台進行管理。您不能使用管理主控台 (MMC) 管理此元件。
與 Kaspersky Endpoint Detection and Response Optimum 整合
與 Kaspersky Endpoint Detection and Response Optimum 整合包括以下步驟:
- 安裝 Kaspersky Endpoint Detection and Response Optimum 元件
您可以在安裝或者更新期間以及使用變更應用程式元件工作選擇 Endpoint Detection and Response Optimum 元件。
按照"變更應用程式元件"工作執行操作後,工作狀態顯示不正確。工作狀態不是”已成功完成”,而是”已排程" 。不過,工作仍然能成功完成。請確保新元件已安裝在卡巴斯基安全安全管理中心主控台的電腦內容(應用程式 → Kaspersky Endpoint Security for Windows → 元件)或者本機應用程式介面中。
- 啟動 Kaspersky Endpoint Detection and Response Optimum
您可以用以下方式之一獲取使用 Kaspersky Endpoint Detection and Response Optimum 的產品授權:
- EDR Optimum 功能包括在使用的 Kaspersky Endpoint Security for Windows 的產品授權中。
該功能將在啟動 Kaspersky Endpoint Security for Windows 後立即可用。
- 用來使用 EDR Optimum 的產品授權延伸程式。
該功能將在您為 Kaspersky Endpoint Detection and Response 單獨新增金鑰後可用。因此,電腦上將安裝有兩個金鑰:一個金鑰用於 Kaspersky Endpoint Security,一個金鑰用於 Kaspersky Endpoint Detection and Response Optimum。
單個 EDR Optimum 功能的授權與 Kaspersky Endpoint Security 的授權無異。
確保 EDR Optimum 功能包括在產品授權中且在應用程式的本機介面中執行。
- EDR Optimum 功能包括在使用的 Kaspersky Endpoint Security for Windows 的產品授權中。
- 啟用 Endpoint Detection and Response Optimum 元件
您可以在 Kaspersky Endpoint Security for Windows 政策設定中啟用或者停用該元件。
要使用該元件必須滿足以下條件:
- 應用程式已啟動,Kaspersky Endpoint Detection and Response Optimum 功能在產品授權中。
- Endpoint Detection and Response Optimum 元件已開啟。
- Endpoint Detection and Response Optimum 依靠的應用程式元件已啟用且可操作。該元件依靠以下元件:
如何在網頁主控台中啟用或者停用 Endpoint Detection and Response Optimum 元件
Kaspersky Endpoint Detection and Response Optimum 元件已啟用。透過檢視“應用程式元件狀態報告“來檢查元件的運行狀態。您還可以在 Kaspersky Endpoint Security 的本地介面中的報告中檢視元件的運行狀態。“Endpoint Detection and Response Optimum”元件已新增到 Kaspersky Endpoint Security 元件清單中。
- 啟用到管理伺服器的資料傳輸
若要啟用所有 EDR Optimum 功能,應該為以下類型的資料啟用傳輸:
- 隔離檔案資料。
透過網頁主控台獲取電腦上的隔離檔案需要該資料。例如,您可以從隔離區下載檔案用於在網頁主控台中分析。
- 威脅發展鏈資料。
在網頁主控台中獲取電腦上偵測到的威脅資訊需要該資料。您可以在網頁主控台中檢視警示詳細資訊並採取回應動作。
- 隔離檔案資料。
從 Kaspersky Endpoint Agent 遷移到 Kaspersky Endpoint Security for Windows
如果您使用的是安裝了 EDR Optimum 元件(內建代理)的 Kaspersky Endpoint Security 11.7.0 或更新版本,則不需要做任何事情 Kaspersky Endpoint Detection and Response Optimum 解決方案即可工作。EDR Optimum 元件與 Kaspersky Endpoint Agent 不相容。如果電腦上安裝了 Kaspersky Endpoint Agent,則當 Kaspersky Endpoint Security 更新到版本 11.7.0 時, Kaspersky Endpoint Detection and Response Optimum 將繼續使用 Kaspersky Endpoint Security。此外,Kaspersky Endpoint Agent 將被從電腦移除。要完成從 Kaspersky Endpoint Agent 到 Kaspersky Endpoint Security for Windows 的遷移,您需要使用遷移精靈轉移政策和工作設定。
如果您使用 Kaspersky Endpoint Security 11.4.0–11.6.0 與 Kaspersky Endpoint Detection and Response Optimum 進行交互操作,應用程式將包括 Kaspersky Endpoint Agent。您可以在安裝 Kaspersky Endpoint Security 的過程中安裝 Kaspersky Endpoint Agent。
EDR Optimum 元件作為 Kaspersky Endpoint Security 的一部分支援與 Kaspersky Endpoint Detection and Response Optimum 2.0 解決方案的交互。不支援與 Kaspersky Endpoint Detection and Response Optimum version 1.0 的交互。