Endpoint Detection and Response Expert (on-premise)
|
O Kaspersky Endpoint Security for Windows é compatível com a integração com as soluções Kaspersky Endpoint Detection and Response Expert (on-premise). Kaspersky Endpoint Detection and Response Expert (on-premise) é uma solução de segurança virtual empresarial que inclui aplicativos da Kaspersky que viabilizam para uma organização a defesa contra a maioria dos tipos de riscos virtuais, além de englobar os cenários mais importantes de propagação de ameaças. Os componentes EDR Expert (on-premise) são implementados na Open Single Management Platform (OSMP). Esta plataforma executa cenários multiplataforma em uma única interface e permite a integração de aplicativos da Kaspersky com aplicativos de terceiros em um sistema de segurança abrangente. Um dos elementos centrais da solução é o componente SIEM. O componente SIEM rastreia eventos provenientes de todos os componentes e correlaciona esses eventos entre si com o uso de regras definidas pelo fornecedor e pelo usuário. O EDR Expert (on-premise) analisa os logs e a telemetria recebidos da infraestrutura corporativa para detectar automaticamente os ataques e permitir a investigação de incidentes com o uso de um gráfico de investigação unificado que combina todos os eventos coletados no EDR Expert (on-premise), inclusive os eventos de aplicativos da Kaspersky e de produtos de segurança da informação de terceiros. Para responder a incidentes avançados, o EDR Expert (on-premise) usa cenários predefinidos e definidos pelo usuário. Também é possível usar ações de resposta de aplicativos de terceiros e cenários de resposta que envolvem vários aplicativos. |
Ferramentas de inteligência contra ameaças
O Kaspersky Endpoint Detection and Response usa as seguintes ferramentas de inteligência contra ameaças:
- Integração com o Kaspersky Threat Intelligence Portal que contém e exibe as informações sobre a reputação de arquivos e endereços da Web.
- Banco de dados de Ameaças da Kaspersky.
- A infraestrutura de serviço na nuvem da Kaspersky Security Network (doravante também chamada de "KSN"), que fornece acesso a arquivos em tempo real, ao site e às informações sobre a reputação de software da base de conhecimento da Kaspersky. A utilização de dados do Kaspersky Security Network garante respostas mais rápidas dos aplicativos da Kaspersky contra as ameaças, melhora o desempenho de alguns componentes de proteção e reduz a possibilidade de falsos positivos.
Princípio de funcionamento da solução
O Kaspersky Endpoint Security é instalado em computadores individuais na infraestrutura corporativa de TI e monitora continuamente os processos, as conexões de rede abertas e os arquivos em modificação. As informações sobre eventos no computador (telemetria) são enviadas para o servidor do EDR Expert (on-premise). Nesse caso, o Kaspersky Endpoint Security também envia informações sobre ameaças descobertas pelo aplicativo, além das informações sobre o processamento dos resultados dessas ameaças para os servidores de coleta de telemetria.
A integração do EDR Expert (on-premise) é configurada no console do Kaspersky Security Center. Então, o agente integrado é gerenciado com o uso da Open Single Management Platform (OSMP), inclusive a execução de tarefas, gerenciamento de objetos na Quarentena, exibição de relatórios e outras ações.
Configurações do Kaspersky Endpoint Security para o funcionamento com EDR Expert (on-premise)
As seguintes configurações podem ser usadas para trabalhar com EDR Expert (on-premise):
- [KES+agente integrado]. Nesta configuração, o Kaspersky Endpoint Security atua como o aplicativo que garante a segurança do computador, assim como o aplicativo que trabalha com EDR Expert (on-premise). O agente integrado para EDR Expert (on-premise) está disponível no Kaspersky Endpoint Security 12.11 for Windows ou posterior.
- [EPP de terceiros+EDR Agent]. Nesta configuração, a segurança da infraestrutura de TI é fornecida pelo Endpoint Protection Platform (EPP) de terceiros. A interação com o EDR Expert (on-premise) é fornecida pelo Kaspersky Endpoint Security na configuração do Endpoint Detection and Response Agent (Agente EDR). Nesta configuração, o EDR Agent é compatível com aplicativos EPP de terceiros. O EDR Agent para EDR Expert (on-premise) está disponível no Kaspersky Endpoint Security 12.11 for Windows ou posterior.