Kaspersky Endpoint Security 11.7.0 dispone ora di un agente integrato per la soluzione Kaspersky Endpoint Detection and Response Optimum (di seguito denominato anche "EDR Optimum"). Kaspersky Endpoint Security 11.8.0 dispone ora di un agente integrato per la soluzione Kaspersky Endpoint Detection and Response Expert (di seguito denominata anche "EDR Expert"). Kaspersky Endpoint Detection and Response è una serie di soluzioni che consente di proteggere l'infrastruttura IT aziendale dalle minacce informatiche avanzate. La funzionalità delle soluzioni combina il rilevamento automatico delle minacce con la capacità di reagire a tali minacce per contrastare gli attacchi avanzati, inclusi nuovi exploit, ransomware, attacchi fileless, nonché metodi che utilizzano strumenti di sistemi legittimi. EDR Expert offre più funzionalità di monitoraggio e risposta delle minacce rispetto a EDR Optimal. Per informazioni dettagliate sulle soluzioni, consultare la Guida di Kaspersky Endpoint Detection and Response Optimum e la Guida di Kaspersky Endpoint Detection and Response Expert.
Kaspersky Endpoint Detection and Response esamina e analizza lo sviluppo delle minacce e fornisce personale di sicurezza o l'Amministratore con informazioni sul potenziale attacco necessarie per una risposta tempestiva. Kaspersky Endpoint Detection and Response mostra i dettagli dell'avviso in una finestra separata. Dettagli dell'avviso è uno strumento che consente di visualizzare la totalità delle informazioni raccolte su una minaccia rilevata. Dettagli dell'avviso include, ad esempio, la cronologia dei file visualizzati nel computer. Per informazioni dettagliate sulla gestione dei dettagli dell'avviso, consultare la Guida di Kaspersky Endpoint Detection and Response Optimum e la Guida di Kaspersky Endpoint Detection and Response Expert.
È possibile configurare il componente EDR Optimal in Web Console e Cloud Console. Le impostazioni del componente per EDR Expert sono disponibili solo in Cloud Console.
Impostazioni di Endpoint Detection and Response
Parametro |
Descrizione |
---|---|
Isolamento di rete |
Isolamento automatico del computer dalla rete in risposta alle minacce rilevate. Quando l'isolamento della rete è attivato, l'applicazione interrompe tutte le connessioni attive e blocca tutte le nuove connessioni TCP/IP sul computer. L'applicazione lascia attive solo le seguenti connessioni:
|
Sblocca automaticamente il computer isolato tra N ore |
L'isolamento della rete può essere disattivato automaticamente dopo un periodo di tempo specificato o manualmente. Per impostazione predefinita, Kaspersky Endpoint Security disattiva Isolamento di rete 5 ore dopo l'inizio dell'isolamento. |
Esclusioni dall'isolamento di rete |
Elenco di regole per le esclusioni dall'isolamento di rete. Le connessioni di rete che soddisfano le regole non vengono bloccate sui computer quando Isolamento di rete è attivato. Per configurare le esclusioni dall'isolamento di rete, è possibile utilizzare un elenco di profili di rete standard. Per impostazione predefinita, le esclusioni includono i profili di rete che contengono regole che garantiscono il funzionamento costante dei dispositivi con il server DNS/DHCP e i ruoli client DNS/DHCP. È inoltre possibile modificare le impostazioni dei profili di rete standard o definire esclusioni manualmente. Le esclusioni specificate nelle proprietà dei criteri vengono applicate solo se Isolamento di rete viene attivato automaticamente in risposta a una minaccia rilevata. Le esclusioni specificate nelle proprietà del computer vengono applicate solo se Isolamento di rete è attivato manualmente nelle proprietà del computer in Kaspersky Security Center Console o nei dettagli degli avvisi. |
Prevenzione dell'esecuzione |
Controlla l'esecuzione dei file eseguibili e degli script, nonché l'apertura di file in formato Office. Ad esempio, è possibile impedire l'esecuzione di applicazioni considerate non sicure sul computer selezionato. Prevenzione dell'esecuzione supporta una serie di estensioni di file Office e una serie di interpreti di script. |
Azione in caso di esecuzione o apertura di un oggetto vietato |
Blocca e scrivi nel rapporto. In questa modalità, l'applicazione blocca l'esecuzione di oggetti o l'apertura di documenti che soddisfano i criteri della regola di prevenzione. L'applicazione pubblica anche un evento sui tentativi di esecuzione di oggetti o apertura di documenti nel registro eventi di Windows e nel registro eventi di Kaspersky Security Center. Registra solo gli eventi. In questa modalità, Kaspersky Endpoint Security pubblica un evento sui tentativi di esecuzione di oggetti eseguibili o apertura di documenti che corrispondono ai criteri della regola di prevenzione nel registro eventi di Windows e in Kaspersky Security Center, ma non blocca il tentativo di esecuzione o apertura dell'oggetto o del documento. Questa modalità è selezionata per impostazione predefinita. |
Regole di prevenzione dell'esecuzione |
Elenco delle regole di prevenzione dell'esecuzione degli oggetti. Regola di prevenzione dell'esecuzione è un insieme di criteri che l'applicazione prende in considerazione quando reagisce all'esecuzione di un oggetto, ad esempio quando blocca l'esecuzione di un oggetto. L'applicazione identifica i file in base ai loro percorsi o checksum calcolati utilizzando gli algoritmi di hash MD5 e SHA256. |