Kaspersky Endpoint Security 11.7.0 posiada teraz wbudowanego agenta dla rozwiązania Kaspersky Endpoint Detection and Response Optimum (zwane dalej „EDR Optimum”). Kaspersky Endpoint Security 11.8.0 posiada teraz wbudowanego agenta dla rozwiązania Kaspersky Endpoint Detection and Response Expert (zwane dalej „EDR Expert”). Kaspersky Endpoint Detection and Response to szereg rozwiązań do ochrony infrastruktury IT korporacji przed zaawansowanymi cyberzagrożeniami. Funkcjonalność rozwiązań łączy automatyczne wykrywanie zagrożeń z możliwością reagowania na te zagrożenia w celu przeciwdziałania zaawansowanym atakom, w tym nowym exploitom, oprogramowaniu ransomware, atakom bezplikowym, a także metodom z użyciem legalnych narzędzi systemowych. EDR Expert oferuje więcej funkcji monitorwowani zagrożeń i reakcji nanie niż EDR Optimum. Więcej informacji o rozwiązaniach można znaleźć w pomocy do Kaspersky Endpoint Detection and Response Optimum oraz w pomocy do Kaspersky Endpoint Detection and Response Expert.
Kaspersky Endpoint Detection and Response monitoruje i analizuje rozwój zagrożeń i zapewnia personel ds. bezpieczeństwa lub Administratora z informacjami o potencjalnym ataku, które są niezbędne do reagowania w odpowiednim momencie. Kaspersky Endpoint Detection and Response wyświetla szczegóły wykrycia w oddzielnym oknie. Szczegóły wykrycia to narzędzie do przeglądania całości zebranych informacji o wykrytym zagrożeniu. Szczegóły wykrycia obejmują, na przykład, historię plików pojawiających się na komputerze. Więcej informacji o zarządzaniu szczegółami wykrycia można znaleźć w pomocy do Kaspersky Endpoint Detection and Response Optimum oraz w pomocy do Kaspersky Endpoint Detection and Response Expert.
Możesz skonfigurować komponent EDR Optimum w Web Console i Cloud Console. Ustawienia komponentu dla EDR Expert są dostępne tylko w Cloud Console.
Ustawienia Endpoint Detection and Response
Parametr |
Opis |
---|---|
Izolacja sieci |
Automatyczna izolacja komputera od sieci w odpowiedzi na wykryte zagrożenia. Jeśli izolacja sieci jest włączona, aplikacja zrywa wszystkie aktywne połączenia i blokuje wszystkie nowe połączenia TCP/IP na komputerze. Aplikacja pozostawia aktywne tylko następujące połączenia:
|
Automatycznie odblokuj izolowany komputer w ciągu N godzin |
Izolacja sieci może zostać wyłączona automatycznie po określonym czasie lub ręcznie. Domyślnie, Kaspersky Endpoint Security wyłączy Izolację sieci 5 godzin od rozpoczęcia izolacji. |
Wykluczenia Izolacji sieci |
Lista reguł dla wykluczeń z izolacji sieci. Połączenia sieciowe, które odpowiadają regułom, nie są blokowane na komputerach, gdy Izolacja sieci jest włączona. Aby skonfigurować wykluczenia izolacji sieci, możesz użyć listy standardowych profili sieciowych. Domyślnie, wykluczenia obejmują profile sieciowe zawierające reguły, które zapewniają nieprzerwane działanie urządzeń z rolami serwera DNS/DHCP i klienta DNS/DHCP. Możesz także ręcznie zmodyfikować ustawienia standardowych profili sieciowych lub zdefiniować wykluczenia. Wykluczenia określone we właściwościach zasady są stosowane tylko wtedy, gdy Izolacja sieci zostaje włączona automatycznie w odpowiedzi na wykryte zagrożenie. Wykluczenia określone we właściwościach komputera są stosowane tylko wtedy, gdy Izolacja sieci zostanie włączona ręcznie we właściwościach komputera w konsoli Kaspersky Security Center. |
Zapobieganie wykonywaniu |
Kontrola wykonania plików wykonywalnych i skryptów oraz otwarcia plików formatów office. Na przykład, możesz zapobiec wykonaniu aplikacji, które są uznawane za niezabezpieczone na wybranym komputerze. Zapobieganie wykonywaniu obsługuje zestaw rozszerzeń plików pakietu office oraz zestaw interpreterów skryptu. |
Akcja podczas wykonywania lub otwierania zabronionego obiektu |
Blokuj i zapisz do raportu. W tym trybie aplikacja blokuje wykonanie obiektów lub otwieranie dokumentów, które odpowiadają kryteriom reguły blokowania. Aplikacja publikuje także zdarzenie dotyczące prób wykonania obiektów lub otwarcia dokumentów w Dzienniku zdarzeń Windows oraz dzienniku zdarzeń Kaspersky Security Center. Tylko zapisuj zdarzenia. W tym trybie Kaspersky Endpoint Security publikuje zdarzenie dotyczące prób uruchomienia obiektów wykonywalnych lub otwarcia dokumentów, które odpowiadają kryteriom reguły blokowania, w Dzienniku zdarzeń Windows oraz w Kaspersky Security Center, ale nie blokują próby uruchomienia lub otwarcia obiektu lub dokumentu. Ten tryb jest wybrany domyślnie. |
Reguły zapobiegania wykonywaniu |
Lista reguł zapobiegania wykonywaniu obiektu. Reguła zapobiegania wykonywaniu to zestaw kryteriów, które są uznawane podczas blokowania. Aplikacja identyfikuje pliki według ich ścieżek lub sum kontrolnych wyliczonych przy użyciu algorytmów haszowania MD5 i SHA256. |