从 11.7.0 开始,Kaspersky Endpoint Security for Windows 包含 Kaspersky Endpoint Detection and Response Optimum 解决方案(也叫“EDR Optimum”)的内置代理。从 11.8.0 开始,Kaspersky Endpoint Security for Windows 包含 Kaspersky Endpoint Detection and Response Expert 解决方案(也叫“EDR Expert”)的内置代理。Kaspersky Endpoint Detection and Response 是一种保护企业 IT 基础架构免受高级网络威胁的一系列解决方案。该解决方案的功能将自动检测威胁与应对这些威胁的能力结合起来,以抵御高级攻击,包括新的漏洞利用、勒索软件、无文件攻击以及使用合法系统工具的方法。EDR Expert 比 EDR Optimum 提供更多的威胁监控和响应功能。有关解决方案的更多信息,请参阅 Kaspersky Endpoint Detection and Response Optimum 帮助和 Kaspersky Endpoint Detection and Response Expert 帮助。
Kaspersky Endpoint Detection and Response 查看和分析威胁发展,并向安全人员或管理员提供及时响应所需的潜在攻击信息。Kaspersky Endpoint Detection and Response 在单独的窗口显示警报详情。警报详情是一种工具,用于查看所收集的有关检测到的威胁的全部信息。警报详情包括,例如,出现在计算机的文件历史。有关管理警报详情的更多信息,请参阅 Kaspersky Endpoint Detection and Response Optimum 帮助和 Kaspersky Endpoint Detection and Response Expert 帮助。
您可以在 Web 控制台和云控制台中配置 EDR Optimum 组件。EDR Expert 的组件设置仅在云控制台可用。
Endpoint Detection and Response 设置
参数 |
描述 |
---|---|
网络隔离 |
根据检测到的威胁自动将计算机与网络隔离。 打开网络隔离后,应用程序将断开所有活动连接并阻止计算机上的所有新 TCP/IP 连接。应用程序仅保留以下连接处于活动状态:
|
自动解锁隔离的计算机于 N 小时 |
网络隔离可以在指定时间后自动关闭,也可以手动关闭。默认情况下,Kaspersky Endpoint Security 在隔离开始 5 小时后关闭网络隔离。 |
网络隔离排除项 |
排除网络隔离的规则列表。当网络隔离打开时,符合规则的网络连接不会在计算机上被阻止。 要配置网络隔离排除项,您可以使用标准网络配置文件列表。默认情况下,排除项包括网络配置文件,其中包含确保具有 DNS/DHCP 服务器和 DNS/DHCP 客户端角色的设备不间断运行的规则。您还可以修改标准网络配置文件的设置或手动定义排除项。 只有在网络隔离自动打开以响应检测到的威胁时,才会应用策略属性中指定的排除项。仅当在 Kaspersky Security Center 控制台的“计算机属性”中或警报详情中手动打开网络隔离时,才会应用“计算机属性”中指定的排除项。 |
执行防护 |
控制可执行文件和脚本的执行以及 Office 格式文件的打开。例如,您可以防止在所选计算机上执行被认为不安全的应用程序。执行防护支持一组 Office 文件扩展名和一组脚本解释器。 要使用执行防护组件,您需要添加执行防护规则。执行防护规则是应用程序在对对象执行做出反应时(例如,在阻止对象执行时)考虑的一组条件。应用程序通过使用 MD5 和 SHA256 哈希算法计算的路径或校验和来识别文件。 |
执行或打开禁止的对象时的操作 |
“阻止并写入报告”。在此模式下,应用程序将阻止执行符合防护规则标准的对象或打开这样的文档。应用程序还将尝试执行对象或打开文档的事件发布到 Windows 事件日志和 Kaspersky Security Center 事件日志。 “仅记录事件”。在此模式下,Kaspersky Endpoint Security 将发布关于尝试执行符合防护规则标准的对象或打开这样的文档的事件到 Windows 事件日志和 Kaspersky Security Center,但不会阻止尝试运行对象或打开文档。默认情况下已选择此模式。 |
Cloud Sandbox |
Cloud Sandbox 是一种可以检测计算机上高级威胁的技术。Kaspersky Endpoint Security 自动将检测到的文件转发到 Cloud Sandbox 进行分析。Cloud Sandbox 在隔离的环境中运行这些文件,以识别恶意活动并决定其信誉。这些文件上的数据随后被发送到卡巴斯基安全网络。因此,如果 Cloud Sandbox 检测到恶意文件,Kaspersky Endpoint Security 将在检测到此文件的所有计算机上执行适当的操作以消除此威胁。 Cloud Sandbox 技术是永久启用的,可供所有卡巴斯基安全网络用户使用,无论他们使用的授权许可类型如何。 如果选中此复选框,Kaspersky Endpoint Security 将在主应用程序窗口的“威胁检测技术”下启用使用 Cloud Sandbox 检测到的威胁的计数器。Kaspersky Endpoint Security 还将在应用程序事件和 Kaspersky Security Center 控制台的威胁报告中指出 Cloud Sandbox 威胁检测技术。 |