Endpoint Detection and Response Expert (on-premise)
|
Kaspersky Endpoint Security for Windows 支持与 Kaspersky Endpoint Detection and Response Expert (on-premise) 解决方案集成。Kaspersky Endpoint Detection and Response Expert (on-premise) 是一款企业网络安全解决方案,其中包括卡巴斯基应用程序,可帮助组织防御大多数类型的网络风险并涵盖最重要的威胁传播场景。EDR Expert (on-premise) 组件部署在 Open Single Management Platform (OSMP) 上。该平台可在单一界面中运行跨平台方案,并允许将卡巴斯基应用程序与第三方应用程序集成到全面的安全系统中。 解决方案的核心要素之一是 SIEM。SIEM 跟踪来自所有组件的事件,并使用供应商和用户定义的规则将这些事件相互关联起来。EDR Expert (on-premise) 会查看从企业基础设施接收的日志和遥测数据,以自动检测攻击,并允许使用统一的调查图来调查事件,该调查图结合了 EDR Expert (on-premise) 中采集的所有事件,包括来自卡巴斯基应用程序和第三方信息安全产品的事件。 对于高级事件的响应,EDR Expert (on-premise) 使用预设方案和用户自定义方案。您还可以使用来自第三方应用程序的响应操作以及涉及多个应用程序的响应方案。 |
威胁情报工具
Kaspersky Endpoint Detection and Response 使用以下威胁情报工具:
- 与卡巴斯基威胁情报门户集成,该系统包含并显示有关文件和网址信誉的信息。
- 卡巴斯基威胁数据库。
- 卡巴斯基安全网络(以下也称为“KSN”)云服务基础设施,提供对 Kaspersky 知识库中实时文件、网站和软件信誉信息的访问。使用卡巴斯基安全网络的数据可确保 Kaspersky 应用程序能够更快地对新威胁作出响应,提高一些保护组件的性能,并减少误报风险。
解决方案的工作原理
Kaspersky Endpoint Security 安装在公司 IT 基础设施的各个计算机上,并持续监视流程、开放式网络连接和正在修改的文件。计算机事件信息(遥测数据)被发送到 EDR Expert (on-premise) 服务器。在这种情况下,Kaspersky Endpoint Security 还会将应用程序发现的威胁信息以及这些威胁的处理结果信息发送到遥测采集服务器。
EDR Expert (on-premise) 集成在 Kaspersky Security Center 控制台中配置。然后使用 Open Single Management Platform (OSMP) 管理内置代理,包括运行任务、管理隔离对象、查看报告和其他操作。
用于使用 EDR Expert (on-premise) 的 Kaspersky Endpoint Security 配置
以下配置可用于使用 EDR Expert (on-premise):
- [KES+内置代理]。在此配置中,Kaspersky Endpoint Security 既充当确保计算机安全的应用程序,又充当使用 EDR Expert (on-premise) 的应用程序。Kaspersky Endpoint Security 12.11 for Windows 或更高版本中提供了 EDR Expert (on-premise) 内置代理。
- [第三方 EPP+EDR Agent]。在此配置中,IT 基础设施的安全性由第三方 Endpoint Protection Platform(EPP)提供。与 EDR Expert (on-premise) 的交互由 Kaspersky Endpoint Security 在“Endpoint Detection and Response Agent(EDR Agent)”配置中提供。在此配置中,EDR Agent 兼容第三方 EPP 应用程序。EDR Expert (on-premise) 的 EDR Agent 在 Kaspersky Endpoint Security 12.11 for Windows 或更高版本中可用。