Endpoint Detection and Response

Kaspersky Endpoint Security 11.7.0 具有 Kaspersky Endpoint Detection and Response Optimum 解决方案(也叫 “EDR Optimum”)的内置代理。Kaspersky Endpoint Security 11.8.0 具有 Kaspersky Endpoint Detection and Response Expert 解决方案(也叫 “EDR Expert”)的内置代理。Kaspersky Endpoint Detection and Response 是一种保护企业 IT 基础架构免受高级网络威胁的一系列解决方案。该解决方案的功能将自动检测威胁与应对这些威胁的能力结合起来,以抵御高级攻击,包括新的漏洞利用、勒索软件、无文件攻击以及使用合法系统工具的方法。EDR Expert 比 EDR Optimum 提供更多的威胁监控和响应功能。有关解决方案的更多信息,请参阅 Kaspersky Endpoint Detection and Response Optimum 帮助Kaspersky Endpoint Detection and Response Expert 帮助

Kaspersky Endpoint Detection and Response 查看和分析威胁发展,并向安全人员管理员提供及时响应所需的潜在攻击信息。Kaspersky Endpoint Detection and Response 在单独的窗口显示警报详情。警报详情是一种工具,用于查看所收集的有关检测到的威胁的全部信息。警报详情包括,例如,出现在计算机的文件历史。有关管理警报详情的更多信息,请参阅 Kaspersky Endpoint Detection and Response Optimum 帮助Kaspersky Endpoint Detection and Response Expert 帮助

您可以在 Web 控制台和云控制台中配置 EDR Optimum 组件。EDR Expert 的组件设置仅在云控制台可用。

Endpoint Detection and Response 设置

参数

描述

网络隔离

根据检测到的威胁自动将计算机与网络隔离。

打开网络隔离后,应用程序将断开所有活动连接并阻止计算机上的所有新 TCP/IP 连接。应用程序仅保留以下连接处于活动状态:

  • 网络隔离排除中列出的连接。
  • 由 Kaspersky Endpoint Security 服务启动的连接。
  • 由 Kaspersky Security Center 管理代理启动的连接。

自动解锁隔离的计算机于 N 小时

网络隔离可以在指定时间后自动关闭,也可以手动关闭。默认情况下,Kaspersky Endpoint Security 在隔离开始 5 小时后关闭网络隔离。

网络隔离排除项

排除网络隔离的规则列表。当网络隔离打开时,符合规则的网络连接不会在计算机上被阻止。

要配置网络隔离排除项,您可以使用标准网络配置文件列表。默认情况下,排除项包括网络配置文件,其中包含确保具有 DNS/DHCP 服务器和 DNS/DHCP 客户端角色的设备不间断运行的规则。您还可以修改标准网络配置文件的设置或手动定义排除项。

只有在网络隔离自动打开以响应检测到的威胁时,才会应用策略属性中指定的排除项。仅当在 Kaspersky Security Center 控制台的“计算机属性”中或警报详情中手动打开网络隔离时,才会应用“计算机属性”中指定的排除项。

执行防护

控制可执行文件和脚本的执行以及 Office 格式文件的打开。例如,您可以防止在所选计算机上执行被认为不安全的应用程序。执行防护支持一组 Office 文件扩展名一组脚本解释器

执行或打开禁止的对象时的操作

阻止并写入报告。在此模式下,应用程序将阻止执行符合防护规则标准的对象或打开这样的文档。应用程序还将尝试执行对象或打开文档的事件发布到 Windows 事件日志和 Kaspersky Security Center 事件日志。

仅记录事件。在此模式下,Kaspersky Endpoint Security 将发布关于尝试执行符合防护规则标准的对象或打开这样的文档的事件到 Windows 事件日志和 Kaspersky Security Center,但不会阻止尝试运行对象或打开文档。默认情况下已选择此模式。

执行防护规则

对象执行防护规则列表。执行防护规则是应用程序在对对象执行做出反应时(例如,在阻止对象执行时)考虑的一组条件。应用程序通过使用 MD5 和 SHA256 哈希算法计算的路径或校验和来识别文件。

页面顶部