Endpoint Detection and Response

A partir de la versión 11.7.0, Kaspersky Endpoint Security para Windows incluye un agente integrado para la solución Kaspersky Endpoint Detection and Response Optimum (en adelante también "EDR Optimum"). A partir de la versión 11.8.0, Kaspersky Endpoint Security para Windows incluye un agente integrado para la solución Kaspersky Endpoint Detection and Response Expert (en adelante también "EDR Expert"). Kaspersky Endpoint Detection and Response es una variedad de soluciones para proteger la infraestructura de TI corporativa de las amenazas cibernéticas avanzadas. La funcionalidad de las soluciones combina la detección automática de amenazas con la capacidad de reaccionar a estas amenazas para contrarrestar ataques avanzados, incluidos nuevos exploits, ransomware y ataques sin archivos, así como métodos que utilizan herramientas legítimas del sistema. EDR Expert ofrece más funcionalidades de supervisión y respuesta a las amenazas que EDR Optimum. Para obtener más información sobre las soluciones, consulte la Ayuda de Kaspersky Endpoint Detection and Response Optimum y la Ayuda de Kaspersky Endpoint Detection and Response Expert.

Kaspersky Endpoint Detection and Response examina y analiza el desarrollo de amenazas e informa al personal de seguridad o al Administrador del posible ataque, para permitir una respuesta oportuna. Kaspersky Endpoint Detection and Response muestra los detalles de la alerta en una ventana separada. Una alerta es un evento en la infraestructura de TI corporativa que la aplicación ha identificado como inusual o sospechoso, y que puede suponer una amenaza para la seguridad de dicha infraestructura. Detalles de la alerta es una herramienta para ver toda la información recolectada sobre una amenaza detectada. Detalles de la alerta incluye, por ejemplo, el historial de archivos que aparecen en el equipo. Para obtener más información sobre la administración de los detalles de la alerta, consulte la Ayuda de Kaspersky Endpoint Detection and Response Optimum y la Ayuda de Kaspersky Endpoint Detection and Response Expert.

Puede configurar el componente EDR Optimum en Web Console y Cloud Console. La configuración de componente para EDR Expert está disponible solo en Cloud Console.

Configuración de Endpoint Detection and Response

Parámetro

Descripción

Aislamiento de red

Aislamiento automático del equipo de la red en respuesta a amenazas detectadas.

Cuando el aislamiento de red está activado, la aplicación corta todas las conexiones activas y bloquea todas las conexiones TCP/IP nuevas en el equipo. La aplicación deja solo las siguientes conexiones activas:

  • Conexiones enumeradas en exclusiones de aislamiento de red.
  • Conexiones iniciadas por los servicios de Kaspersky Endpoint Security.
  • Conexiones iniciadas por el Agente de red de Kaspersky Security Center.

Desbloquear automáticamente el equipo aislado en N horas

El aislamiento de red se puede desactivar automáticamente después de un tiempo especificado o manualmente. De forma predeterminada, Kaspersky Endpoint Security desactiva el aislamiento de red 5 horas después del inicio del aislamiento.

Exclusiones de aislamiento de red

Lista de reglas para las exclusiones del aislamiento de red. Las conexiones de red que coinciden con las reglas no se bloquean en los equipos cuando el aislamiento de red está activado.

Para configurar las Exclusiones de aislamiento de red, puede usar una lista de perfiles de red estándar. De forma predeterminada, las exclusiones incluyen perfiles de red con reglas que garantizan el funcionamiento ininterrumpido de los dispositivos con el servidor DNS/DHCP y los roles de cliente DNS/DHCP. También puede modificar la configuración de los perfiles de red estándar o definir exclusiones manualmente.

Las exclusiones especificadas en las propiedades de la directiva se aplican solo si el aislamiento de red se activa automáticamente en respuesta a una amenaza detectada. Las exclusiones especificadas en las propiedades del equipo se aplican solo si el aislamiento de red se activa manualmente en las propiedades del equipo en la consola de Kaspersky Security Center o en los detalles de la alerta.

Prevención de ejecución

Controle la ejecución de archivos ejecutables y scripts y la apertura de archivos en formato Office. Por ejemplo, puede evitar la ejecución de aplicaciones que se consideran inseguras en el equipo seleccionado. La prevención de ejecución es compatible con un conjunto de extensiones de archivos y un conjunto de intérpretes de script.

Para utilizar el componente de Prevención de ejecución, debe añadir las normas de prevención de la ejecución. Regla de prevención de ejecución es un conjunto de criterios que la aplicación tiene en cuenta al reaccionar a la ejecución de un objeto, por ejemplo, al bloquear la ejecución de un objeto. La aplicación identifica archivos por sus rutas o sumas de comprobación calculadas mediante algoritmos hash MD5 y SHA256.

Acción al ejecutar o abrir un objeto prohibido

Bloquear y escribirlo en el informe. En este modo, la aplicación bloquea la ejecución de objetos o la apertura de documentos que coinciden con los criterios de la regla de prevención. La aplicación también publica un evento sobre los intentos de ejecutar objetos o abrir documentos en el registro de eventos de Windows y en el registro de eventos de Kaspersky Security Center.

Solo escribir en el registro. En este modo, Kaspersky Endpoint Security publica un evento sobre los intentos de ejecutar objetos ejecutables o abrir documentos que coinciden con los criterios de la regla de prevención en el registro de eventos de Windows y Kaspersky Security Center, pero no bloquea el intento de ejecutar o abrir el objeto o documento. Este modo está seleccionado de forma predeterminada.

Sandbox en la nube

Sandbox en la nube es una tecnología que le permite detectar amenazas avanzadas en un equipo. Kaspersky Endpoint Security reenvía automáticamente los archivos detectados a Sandbox en la nube para su análisis. Sandbox en la nube ejecuta estos archivos en un entorno aislado para identificar actividad maliciosa y tomar una decisión sobre su reputación. A continuación, los datos de estos archivos se envían a Kaspersky Security Network. Por lo tanto, si Sandbox en la nube ha detectado un archivo malicioso, Kaspersky Endpoint Security realizará la acción adecuada para eliminar esta amenaza en todos los equipos donde se detecte este archivo.

La tecnología Sandbox en la nube se activa de manera permanente y está disponible para todos los usuarios de Kaspersky Security Network, más allá del tipo de licencia que usen.

Si esta casilla de verificación está marcada, Kaspersky Endpoint Security activará el contador de amenazas detectadas a través de Sandbox en la nube en la ventana principal de la aplicación, en Tecnologías de detección de amenazas. Kaspersky Endpoint Security también indicará la tecnología de detección de Sandbox en la nube en los eventos de aplicación y en los Informe de amenazas en la consola de Kaspersky Security Center.

Inicio de página