Endpoint Detection and Response

A partir da versão 11.7.0, o Kaspersky Endpoint Security for Windows inclui um agente integrado para a solução Kaspersky Endpoint Detection and Response Optimum (doravante também “EDR Optimum”). A partir da versão 11.8.0, o Kaspersky Endpoint Security for Windows inclui um agente integrado para a solução Kaspersky Endpoint Detection and Response Expert (doravante também “EDR Expert”). O Kaspersky Endpoint Detection and Response é uma gama de soluções para proteger a infraestrutura corporativa de TI contra ameaças cibernéticas avançadas. A funcionalidade das soluções combina a detecção automática de ameaças com a capacidade de reagir a essas ameaças para neutralizar ataques avançados, incluindo novos exploits, ransomwares, ataques sem arquivo, bem como métodos que usam ferramentas de sistema legítimas. O EDR Expert oferece mais monitoramento de ameaças e funcionalidade de resposta do que o EDR Optimum. Para obter informações detalhadas sobre a solução, consulte a Ajuda do Kaspersky Endpoint Detection and Response Optimum e a Ajuda do Kaspersky Endpoint Detection and Response Expert.

O Kaspersky Endpoint Detection and Response revisa e analisa o desenvolvimento de ameaças e fornece à equipe de segurança ou ao Administrador as informações sobre o possível ataque necessárias para uma resposta oportuna. O Kaspersky Endpoint Detection and Response exibe os detalhes de alertas e uma janela separada. Destalhes de alertas é uma ferramenta para visualizar todas as informações coletadas sobre uma ameaça detectada. Os detalhes da alertas incluem, por exemplo, o histórico de arquivos aparentes no computador. Para obter detalhes sobre o gerenciamento dos detalhes de alertas, consulte a Ajuda do Kaspersky Endpoint Detection and Response Optimum e a Ajuda do Kaspersky Endpoint Detection and Response Expert.

É possível configurar o componente EDR Optimum no Web Console e Cloud Console. As configurações de componentes para o EDR Expert estão disponíveis somente no Cloud Console.

Configurações do Endpoint Detection and Response

Parâmetro

Descrição

Isolamento de rede

Isolamento automático do computador da rede em resposta às ameaças detectadas.

Quando o isolamento de rede é ativado, o aplicativo corta todas as conexões ativas e bloqueia todas as novas conexões TCP/IP no computador. O aplicativo deixa apenas as seguintes conexões ativas:

  • Conexões listadas em exclusões de isolamento de rede.
  • Conexões iniciadas pelos serviços do Kaspersky Endpoint Security.
  • Conexões iniciadas pelo Agente de Rede do Kaspersky Security Center.

Desbloquear automaticamente o computador isolado em N horas

O isolamento de rede pode ser desligado automaticamente após um tempo especificado ou manualmente. Por padrão, o Kaspersky Endpoint Security desativa o isolamento de rede 5 horas após o início do isolamento.

Exclusões de isolamento de rede

Lista de regras para exclusões de isolamento de rede. As conexões de rede que correspondem às regras não são bloqueadas em computadores quando o isolamento de rede é ativado.

Para configurar as exclusões de isolamento de rede, é possível utilizar a lista de perfis de rede padrão. Por padrão, as exclusões incluem os perfis de rede contendo as regras que garantem a operação ininterrupta de dispositivos com funções de servidor DNS/DHCP e cliente DNS/DHCP. Também é possível modificar as configurações dos perfis de rede padrão ou definir as exclusões manualmente.

As exclusões especificadas nas propriedades da política são aplicadas apenas se o isolamento de rede for ativado automaticamente em resposta a uma ameaça detectada. As exclusões especificadas nas propriedades do computador são aplicadas apenas se o isolamento de rede for ativado manualmente nas propriedades do computador no console do Kaspersky Security Center ou nos detalhes de alertas.

Prevenção de execução

Controle a execução de arquivos executáveis e scripts e abertura de arquivos de formato Office. Por exemplo, é possível impedir a execução de aplicativos considerados inseguros no computador selecionado. A prevenção de execução é compatível com um conjunto de extensões de arquivos do office e um conjunto de intérpretes de script.

Para usar o componente de Prevenção de execução, é preciso adicionar regras de prevenção de execução. A Regra de prevenção de execução é um conjunto de critérios que o aplicativo leva em consideração ao reagir à execução de um objeto, por exemplo, ao bloquear a execução de um objeto. O aplicativo identifica os arquivos por seus caminhos ou somas de verificação calculados usando algoritmos de hash MD5 e SHA256.

Ação na execução ou abertura de objeto proibido

Bloquear e gravar no relatório. Neste modo, o aplicativo bloqueia a execução de objetos ou a abertura de documentos que atendam aos critérios da regra de prevenção. O aplicativo também publica um evento sobre as tentativas de execução de objetos ou documentos abertos no log de eventos do Windows e no log de eventos do Kaspersky Security Center.

Criar log de eventos apenas. Neste modo, o Kaspersky Endpoint Security publica um evento sobre tentativas de execução de objetos executáveis ou documentos abertos que correspondem aos critérios da regra de prevenção no log de eventos do Windows e no Kaspersky Security Center, mas não bloqueia a tentativa de executar ou abrir o objeto ou documento. O item está selecionado por padrão.

Cloud Sandbox

Cloud Sandbox é uma tecnologia que permite detectar ameaças avançadas em um computador. O Kaspersky Endpoint Security encaminha automaticamente arquivos detectados para a Cloud Sandbox analisar. O Cloud Sandbox executa esses arquivos em um ambiente isolado para identificar atividades maliciosas e avaliar a sua reputação. Os dados desses arquivos são enviados para a Kaspersky Security Network. Portanto, caso o Cloud Sandbox detecte um arquivo malicioso, o Kaspersky Endpoint Security executará a ação apropriada para eliminar essa ameaça em todos os computadores em que esse arquivo for detectado.

A tecnologia Cloud Sandbox está habilitada permanentemente e disponível para todos os usuários da Kaspersky Security Network, independentemente do tipo de licença em uso.

Caso a caixa de seleção esteja marcada, o Kaspersky Endpoint Security habilitará o contador de ameaças detectadas usando o Cloud Sandbox na janela principal do aplicativo debaixo Tecnologias de detecção de ameaças. O Kaspersky Endpoint Security também indicará a tecnologia de detecção de ameaças Cloud Sandbox em eventos do aplicativo E no Relatório de ameaças no console do Kaspersky Security Center.

Início da página