Endpoint Detection and Response

A Kaspersky Endpoint Security 11.7.0 beépített ügynökkel rendelkezik a Kaspersky Endpoint Detection and Response Optimum megoldáshoz (a továbbiakban: „EDR Optimum”). A Kaspersky Endpoint Security 11.8.0 beépített ügynökkel rendelkezik a Kaspersky Endpoint Detection and Response Expert megoldáshoz (a továbbiakban: „EDR Expert”). A Kaspersky Endpoint Detection and Response megoldáscsomag a vállalat informatikai infrastruktúrájának védelmét biztosítja a fejlett számítógépes fenyegetések ellen. A megoldások ötvözik a fenyegetések különböző automatikus észlelését, és képesek reagálni ezekre a fenyegetésekre, hogy ellensúlyozzák a speciális támadásokat, beleértve az új biztonsági réseket, a zsarolóprogramokat, a fájlmentes támadásokat, valamint a legitim rendszereszközöket használó módszereket. Az EDR Expert több fenyegetésfigyelési és reagálási funkciót kínál, mint az EDR Optimum. A megoldásokról részletesen a Kaspersky Endpoint Detection and Response Optimum súgóban és a Kaspersky Endpoint Detection and Response Expert súgóban olvashat.

A Kaspersky Endpoint Detection and Response felügyeli és elemzi a fenyegetések fejlődését, és olyan információkat szolgáltat a biztonsági személyzetnek vagy a rendszergazdának a lehetséges támadásról, amely szükséges az időben történő reagáláshoz. A Kaspersky Endpoint Detection and Response külön ablakban jeleníti meg az észlelés részleteit. Az Észlelés részletei egy eszköz az észlelt fenyegetéssel kapcsolatos összesített információk megtekintésére. Az észlelési részletek közé tartoznak például a számítógépen megjelenő fájlok előzményei. Az észlelések kezelésével kapcsolatos részleteket a Kaspersky Endpoint Detection and Response Optimum súgóban és a Kaspersky Endpoint Detection and Response Expert súgóban találja.

Az EDR Optimum összetevőt a Web Console-on és a Cloud Console-on konfigurálhatja. Az EDR Expert összetevő beállításai csak a Cloud Console-on érhetők el.

Az Endpoint Detection and Response beállításai

Paraméter

Leírás

Hálózatelkülönítés

A számítógép automatikus leválasztása a hálózatról válaszul az észlelt fenyegetésekre.

Amikor a hálózatelkülönítés be van kapcsolva, az alkalmazás leválaszt minden aktív kapcsolatot, és blokkol minden új TCP/IP-kapcsolatot a számítógépen. Az alkalmazás csak a következő kapcsolatokat hagyja aktívan:

  • A Hálózatelkülönítés kizárásaiban felsorolt kapcsolatok.
  • A Kaspersky Endpoint Security szolgáltatásai által kezdeményezett kapcsolatok.
  • A Kaspersky Security Center Felügyeleti ügynök által kezdeményezett kapcsolatok.

Az elkülönített számítógép automatikus feloldása N óra múlva

A hálózatelkülönítés meghatározott idő elteltével automatikusan vagy manuálisan kikapcsolható. Alapértelmezés szerint a Kaspersky Endpoint Security 5 órával az elkülönítés megkezdése után kapcsolja ki a hálózatelkülönítést.

Network isolation exclusions

A hálózatelkülönítési kizárásokhoz tartozó szabályok listája. Az e szabályoknak megfelelő hálózati kapcsolatok nincsenek blokkolva a számítógépeken, ha a Hálózatelkülönítés be van kapcsolva.

A Hálózatelkülönítés kizárásainak konfigurálásához használhatja a szabványos hálózati profilok listáját. Alapértelmezés szerint a kizárások közé tartoznak azok a hálózati profilok, amelyek a DNS-/DHCP-kiszolgálóval és a DNS-/DHCP-ügyfélszerepkörrel rendelkező eszközök zavartalan működését biztosító szabályokat tartalmazzák. Módosíthatja a szabványos hálózati profilok beállításait, vagy manuálisan is megadhat kizárásokat.

A házirend tulajdonságaiban megadott kizárások csak akkor alkalmazhatók, ha a hálózatelkülönítés automatikusan bekapcsol az észlelt fenyegetés hatására. A számítógép tulajdonságaiban megadott kizárások csak akkor érvényesek, ha a hálózatelkülönítést a Kaspersky Security Center konzoljának számítógép-tulajdonságaiban vagy a riasztási részletekben manuálisan kapcsolják be.

Végrehajtás megelőzése

A végrehajtható fájlok és szkriptek futtatásának és az Office formátumú fájlok megnyitásának vezérlése. Például megakadályozhatja a nem biztonságosnak ítélt alkalmazások futtatását a kiválasztott számítógépen. A végrehajtás megakadályozása támogatja az Office-fájlkiterjesztések és a szkriptértelmezők készletét.

Action on execution or opening of forbidden object

Block and write to report. Ebben az üzemmódban az alkalmazás blokkolja a megelőzési szabály kritériumainak megfelelő objektumok végrehajtását vagy dokumentumok megnyitását. Az alkalmazás egy eseményt is közzétesz az objektumok végrehajtására vagy dokumentumok megnyitására irányuló kísérletekről a Windows eseménynaplójában és a Kaspersky Security Center eseménynaplójában.

Log events only. Ebben az üzemmódban a Kaspersky Endpoint Security közzétesz egy eseményt a Windows eseménynaplójában és a Kaspersky Security Center eseménynaplójában a végrehajtható objektumok futtatására vagy a megelőzési szabály kritériumainak megfelelő dokumentumok megnyitására tett kísérletről, de nem blokkolja az objektum vagy a dokumentum futtatási vagy megnyitási kísérletét. Alapértelmezésben ez a mód van kiválasztva.

A végrehajtás megakadályozásának szabályai

Az objektumvégrehajtás megakadályozási szabályainak listája. A végrehajtás-megelőzési szabály olyan kritériumok összessége, amelyeket az alkalmazás figyelembe vesz, amikor egy objektum végrehajtására reagál, például amikor blokkolja az objektum végrehajtását. Az alkalmazás elérési utak vagy az MD5 és SHA256 kivonatolási algoritmusokkal kiszámított ellenőrzőösszegek alapján azonosítja a fájlokat.

Oldal tetejére