Kaspersky Endpoint Security 11.7.0 ahora tiene un agente integrado para la solución Kaspersky Endpoint Detection and Response Optimum (en adelante también "EDR Optimum"). Kaspersky Endpoint Security 11.8.0 ahora tiene un agente integrado para la solución Kaspersky Endpoint Detection and Response Expert (en adelante también "EDR Expert"). Kaspersky Endpoint Detection and Response es una variedad de soluciones para proteger la infraestructura de TI corporativa de las amenazas cibernéticas avanzadas. La funcionalidad de las soluciones combina la detección automática de amenazas con la capacidad de reaccionar a estas amenazas para contrarrestar ataques avanzados, incluidos nuevos exploits, ransomware y ataques sin archivos, así como métodos que utilizan herramientas legítimas del sistema. EDR Expert ofrece más funcionalidades de supervisión y respuesta a las amenazas que EDR Optimum. Para obtener más información sobre las soluciones, consulte la Ayuda de Kaspersky Endpoint Detection and Response Optimum y la Ayuda de Kaspersky Endpoint Detection and Response Expert.
Kaspersky Endpoint Detection and Response examina y analiza el desarrollo de amenazas e informa al personal de seguridad o al Administrador del posible ataque, para permitir una respuesta oportuna. Kaspersky Endpoint Detection and Response muestra los detalles de la alerta en una ventana separada. Detalles de la alerta es una herramienta para ver toda la información recolectada sobre una amenaza detectada. Detalles de la alerta incluye, por ejemplo, el historial de archivos que aparecen en el equipo. Para obtener más información sobre la administración de los detalles de la alerta, consulte la Ayuda de Kaspersky Endpoint Detection and Response Optimum y la Ayuda de Kaspersky Endpoint Detection and Response Expert.
Puede configurar el componente EDR Optimum en Web Console y Cloud Console. La configuración de componente para EDR Expert está disponible solo en Cloud Console.
Configuración de Endpoint Detection and Response
Parámetro |
Descripción |
---|---|
Aislamiento de red |
Aislamiento automático del equipo de la red en respuesta a amenazas detectadas. Cuando el aislamiento de red está activado, la aplicación corta todas las conexiones activas y bloquea todas las conexiones TCP/IP nuevas en el equipo. La aplicación deja solo las siguientes conexiones activas:
|
Desbloquear automáticamente el equipo aislado en N horas |
El aislamiento de red se puede desactivar automáticamente después de un tiempo especificado o manualmente. De forma predeterminada, Kaspersky Endpoint Security desactiva el aislamiento de red 5 horas después del inicio del aislamiento. |
Exclusiones de aislamiento de red |
Lista de reglas para las exclusiones del aislamiento de red. Las conexiones de red que coinciden con las reglas no se bloquean en los equipos cuando el aislamiento de red está activado. Para configurar las Exclusiones de aislamiento de red, puede usar una lista de perfiles de red estándar. De forma predeterminada, las exclusiones incluyen perfiles de red con reglas que garantizan el funcionamiento ininterrumpido de los dispositivos con el servidor DNS/DHCP y los roles de cliente DNS/DHCP. También puede modificar la configuración de los perfiles de red estándar o definir exclusiones manualmente. Las exclusiones especificadas en las propiedades de la directiva se aplican solo si el aislamiento de red se activa automáticamente en respuesta a una amenaza detectada. Las exclusiones especificadas en las propiedades del equipo se aplican solo si el aislamiento de red se activa manualmente en las propiedades del equipo en la consola de Kaspersky Security Center o en los detalles de la alerta. |
Prevención de ejecución |
Controle la ejecución de archivos ejecutables y scripts y la apertura de archivos en formato Office. Por ejemplo, puede evitar la ejecución de aplicaciones que se consideran inseguras en el equipo seleccionado. La prevención de ejecución es compatible con un conjunto de extensiones de archivos y un conjunto de intérpretes de script. |
Acción al ejecutar o abrir un objeto prohibido |
Bloquear y escribirlo en el informe. En este modo, la aplicación bloquea la ejecución de objetos o la apertura de documentos que coinciden con los criterios de la regla de prevención. La aplicación también publica un evento sobre los intentos de ejecutar objetos o abrir documentos en el registro de eventos de Windows y en el registro de eventos de Kaspersky Security Center. Solo eventos del registro. En este modo, Kaspersky Endpoint Security publica un evento sobre los intentos de ejecutar objetos ejecutables o abrir documentos que coinciden con los criterios de la regla de prevención en el registro de eventos de Windows y Kaspersky Security Center, pero no bloquea el intento de ejecutar o abrir el objeto o documento. Este modo está seleccionado de forma predeterminada. |
Normas de prevención de la ejecución |
Lista de reglas de prevención de ejecución de objetos. Regla de prevención de ejecución es un conjunto de criterios que la aplicación tiene en cuenta al reaccionar a la ejecución de un objeto, por ejemplo, al bloquear la ejecución de un objeto. La aplicación identifica archivos por sus rutas o sumas de comprobación calculadas mediante algoritmos hash MD5 y SHA256. |