Endpoint Detection and Response Expert (on-premise)
|
Kaspersky Endpoint Security para Windows admite la integración con las soluciones de Kaspersky Endpoint Detection and Response Expert (on-premise). Kaspersky Endpoint Detection and Response Expert (local) es una solución de ciberseguridad para empresas que incluye las aplicaciones de Kaspersky que le permiten a una organización defenderse contra la mayoría de los tipos de riesgos de ciberseguridad y cubrir los escenarios de propagación de amenazas más importantes. Los componentes de EDR Expert (local) se implementan en Open Single Management Platform (OSMP). Esta plataforma ejecuta escenarios de múltiples plataformas en una única interfaz y permite integrar aplicaciones de Kaspersky con aplicaciones de terceros en un sistema integral de seguridad. Uno de los elementos principales de la solución es SIEM. SIEM supervisa eventos provenientes de todos los componentes y los correlaciona entre sí mediante reglas que definen el proveedor y el usuario. EDR Expert (on-premise) analiza la telemetría y los registros recibidos de la infraestructura corporativa para detectar ataques de forma automática y permite investigar incidentes mediante un gráfico de investigación unificado que combina todos los eventos recopilados en EDR Expert (on-premise), incluidos los eventos de las aplicaciones de Kaspersky y de productos de seguridad de terceros. Para responder ante incidentes avanzados, EDR Expert (on-premise) utiliza escenarios predefinidos y definidos por el usuario. También puede aplicar acciones de respuesta de aplicaciones de terceros y escenarios de respuesta que implican múltiples aplicaciones. |
Herramientas de inteligencia de amenazas
Kaspersky Endpoint Detection and Response usa las siguientes herramientas de Inteligencia contra amenazas:
- Integración con Kaspersky Threat Intelligence Portal, que contiene y muestra información sobre la reputación de los archivos y las direcciones web.
- Base de datos de amenazas de Kaspersky.
- La infraestructura de servicios en la nube de Kaspersky Security Network (en lo sucesivo, también denominada "KSN"), que proporciona acceso a información de reputación de software, sitios web y archivos en tiempo real de la base de conocimientos de Kaspersky. El uso de los datos de Kaspersky Security Network permite que las aplicaciones de Kaspersky respondan con mayor velocidad a las amenazas, que el rendimiento de algunos componentes de protección aumente y que la posibilidad de encontrarse con falsos positivos disminuya.
Principio de operación de la solución
La aplicación Kaspersky Endpoint Security se instala en equipos individuales en la infraestructura de TI corporativa y monitorea de forma continua los procesos, las conexiones de red abiertas y los archivos que se modifican. La información sobre los eventos del equipo (telemetría) se envía al servidor de EDR Expert (on-premise). En este caso, Kaspersky Endpoint Security también envía información sobre las amenazas descubiertas por la aplicación, así como información sobre los resultados del procesamiento de estas amenazas, a los servidores de colección de telemetría.
La integración de EDR Expert (on-premise) se configura en la consola de Kaspersky Security Center. Luego, el agente incorporado se administra mediante Open Single Management Platform (OSMP), incluidas las tareas en ejecución, la administración de objetos en Cuarentena, la visualización de informes y otras acciones.
Configuración de Kaspersky Endpoint Security para trabajar con EDR Expert (on-premise)
Se puede utilizar la siguiente configuración para trabajar con EDR Expert (on-premise):
- [KES+Agente incorporado]. En esta configuración, Kaspersky Endpoint Security actúa como la aplicación que garantiza la seguridad del equipo y como la aplicación para trabajar con EDR Expert (on-premise). El agente incorporado para EDR Expert (on-premise) está disponible en Kaspersky Endpoint Security para Windows 12.11 o versiones posteriores.
- [EPP de terceros+EDR Agent]. En esta configuración, la Endpoint Protection Platform (EPP) de terceros proporciona la seguridad de la infraestructura de TI. Kaspersky Endpoint Security proporciona la interacción con EDR Expert (on-premise) en la configuración de Endpoint Detection and Response Agent (EDR Agent). En esta configuración, EDR Agent es compatible con aplicaciones EPP de terceros. EDR Agent para EDR Expert (on-premise) está disponible en Kaspersky Endpoint Security para Windows 12.11 o una versión posterior.