Endpoint Detection and Response Expert (on-premise)
|
Kaspersky Endpoint Security for Windows acceptă integrarea cu soluțiile Kaspersky Endpoint Detection and Response Expert (on-premise). Kaspersky Endpoint Detection and Response Expert (on-premise) este o soluție de securitate cibernetică pentru companii care include aplicații Kaspersky ce permit unei organizații să se apere împotriva majorității tipurilor de riscuri cibernetice și să acopere cele mai importante scenarii de propagare a amenințărilor. Componentele EDR Expert (on-premise) sunt implementate pe Open Single Management Platform (OSMP). Această platformă execută scenarii multiplatformă într-o singură interfață și permite integrarea aplicațiilor Kaspersky cu aplicații terțe într-un sistem de securitate complet. Unul dintre elementele centrale ale soluției este SIEM. SIEM urmărește evenimentele provenite de la toate componentele și corelează aceste evenimente între ele, folosind reguli definite de producător și de utilizator. EDR Expert (on-premise) analizează jurnalele și datele de telemetrie primite de la infrastructura corporativă pentru a detecta automat atacurile și permite investigarea incidentelor utilizând un grafic de investigare unificat, care combină toate evenimentele colectate în EDR Expert (on-premise), inclusiv evenimentele din aplicațiile Kaspersky și produsele de securitate a informațiilor de la terți. Pentru a răspunde la incidente avansate, EDR Expert (on-premise) utilizează scenarii prestabilite și definite de utilizator. De asemenea, poți utiliza acțiuni de răspuns de la aplicații terțe și scenarii de răspuns care implică mai multe aplicații. |
Instrumente Threat Intelligence
Kaspersky Endpoint Detection and Response utilizează următoarele instrumente Threat Intelligence:
- Integrarea cu Portalul Kaspersky Threat Intelligence, care conține și afișează informații despre reputația fișierelor și a adreselor web.
- Baza de date Kaspersky Threats.
- Infrastructura serviciului clould al Kaspersky Security Network (denumit în continuare „KSN”), care oferă acces la informații în timp real despre reputația fișierelor, site-urilor web și a software-urilor din baza de cunoștințe Kaspersky. Utilizarea datelor de la Kaspersky Security Network asigură răspunsul mai rapid al aplicațiilor Kaspersky la amenințări, îmbunătățește performanța unor componente de protecție și reduce posibilitatea alarmelor false.
Principiul de funcționare al soluției
Kaspersky Endpoint Security este instalat pe computere individuale din infrastructura IT corporativă și monitorizează continuu procesele, conexiunile la rețea deschise și fișierele care sunt modificate. Informațiile despre evenimentele de pe computer (telemetrie) sunt trimise către serverul EDR Expert (on-premise). În acest caz, Kaspersky Endpoint Security trimite și informații despre amenințările descoperite de aplicație, precum și informații despre rezultatele procesării acestor amenințări către serverele de colectare a datelor de telemetrie.
Integrarea EDR Expert (on-premise) este configurată pe consola Kaspersky Security Center. Agentul integrat este apoi gestionat utilizând Open Single Management Platform (OSMP), inclusiv executarea activităților, gestionarea obiectelor carantinate, vizualizarea rapoartelor și alte acțiuni.
Configurațiile Kaspersky Endpoint Security pentru lucrul cu EDR Expert (on-premise)
Următoarele configurații pot fi utilizate pentru a lucra cu EDR Expert (on-premise):
- [KES+agent încorporat]. În această configurație, Kaspersky Endpoint Security acționează atât ca aplicație care asigură securitatea computerului, cât și ca aplicație pentru lucrul cu EDR Expert (on-premise). Agentul încorporat pentru EDR Expert (on-premise) este disponibil în Kaspersky Endpoint Security 12.11 for Windows sau versiunile ulterioare.
- [EPP terță+agent EPP+EDR]. În această configurație, securitatea infrastructurii IT este asigurată de platforma de componenta terță Endpoint Protection Platform (EPP). Interacțiunea cu EDR Expert (on-premise) este asigurată de Kaspersky Endpoint Security în configurația Endpoint Detection and Response Agent (EDR Agent). În această configurație, EDR Agent este compatibil cu aplicațiile EPP terțe. EDR Agent pentru EDR Expert (on-premise) este disponibil în Kaspersky Endpoint Security 12.11 for Windows sau versiunile ulterioare.