Endpoint Detection and Response

A partire dalla versione 11.7.0, Kaspersky Endpoint Security for Windows include un agente integrato per la soluzione Kaspersky Endpoint Detection and Response Optimum (di seguito denominato anche "EDR Optimum"). A partire dalla versione 11.8.0, Kaspersky Endpoint Security for Windows include un agente integrato per la soluzione Kaspersky Endpoint Detection and Response Expert (di seguito denominata anche "EDR Expert"). Kaspersky Endpoint Detection and Response è una serie di soluzioni che consente di proteggere l'infrastruttura IT aziendale dalle minacce informatiche avanzate. La funzionalità delle soluzioni combina il rilevamento automatico delle minacce con la capacità di reagire a tali minacce per contrastare gli attacchi avanzati, inclusi nuovi exploit, ransomware, attacchi fileless, nonché metodi che utilizzano strumenti di sistemi legittimi. EDR Expert offre più funzionalità di monitoraggio e risposta delle minacce rispetto a EDR Optimal. Per informazioni dettagliate sulle soluzioni, consultare la Guida di Kaspersky Endpoint Detection and Response Optimum e la Guida di Kaspersky Endpoint Detection and Response Expert.

Kaspersky Endpoint Detection and Response esamina e analizza lo sviluppo delle minacce e fornisce personale di sicurezza o l'Amministratore con informazioni sul potenziale attacco necessarie per una risposta tempestiva. Kaspersky Endpoint Detection and Response mostra i dettagli degli avvisi in una finestra separata. Un avviso è un evento nell'infrastruttura IT aziendale che l'applicazione ha identificato come insolito o sospetto e che può rappresentare una minaccia per la sicurezza dell'infrastruttura IT aziendale. Dettagli avviso è uno strumento che consente di visualizzare la totalità delle informazioni raccolte su una minaccia rilevata. Dettagli avviso include, ad esempio, la cronologia dei file visualizzati nel computer. Per informazioni dettagliate sulla gestione dei dettagli degli avvisi, consultare la Guida di Kaspersky Endpoint Detection and Response Optimum e la Guida di Kaspersky Endpoint Detection and Response Expert.

È possibile configurare il componente EDR Optimal in Web Console e Cloud Console. Le impostazioni del componente per EDR Expert sono disponibili solo in Cloud Console.

Impostazioni di Endpoint Detection and Response

Parametro

Descrizione

Isolamento di rete

Isolamento automatico del computer dalla rete in risposta alle minacce rilevate.

Quando l'isolamento della rete è attivato, l'applicazione interrompe tutte le connessioni attive e blocca tutte le nuove connessioni TCP/IP sul computer. L'applicazione lascia attive solo le seguenti connessioni:

  • Connessioni elencate in Esclusioni dall'isolamento di rete.
  • Connessioni avviate dai servizi di Kaspersky Endpoint Security.
  • Connessioni avviate da Kaspersky Security Center Network Agent.

Sblocca automaticamente il computer isolato tra N ore

L'isolamento della rete può essere disattivato automaticamente dopo un periodo di tempo specificato o manualmente. Per impostazione predefinita, Kaspersky Endpoint Security disattiva Isolamento di rete 5 ore dopo l'inizio dell'isolamento.

Esclusioni dall'isolamento di rete

Elenco di regole per le esclusioni dall'isolamento di rete. Le connessioni di rete che soddisfano le regole non vengono bloccate sui computer quando Isolamento di rete è attivato.

Per configurare le esclusioni dall'isolamento di rete, è possibile utilizzare un elenco di profili di rete standard. Per impostazione predefinita, le esclusioni includono i profili di rete che contengono regole che garantiscono il funzionamento costante dei dispositivi con il server DNS/DHCP e i ruoli client DNS/DHCP. È inoltre possibile modificare le impostazioni dei profili di rete standard o definire esclusioni manualmente.

Le esclusioni specificate nelle proprietà dei criteri vengono applicate solo se Isolamento di rete viene attivato automaticamente in risposta a una minaccia rilevata. Le esclusioni specificate nelle proprietà del computer vengono applicate solo se Isolamento di rete è attivato manualmente nelle proprietà del computer in Kaspersky Security Center Console o nei dettagli degli avvisi.

Prevenzione dell'esecuzione

Controlla l'esecuzione dei file eseguibili e degli script, nonché l'apertura di file in formato Office. Ad esempio, è possibile impedire l'esecuzione di applicazioni considerate non sicure sul computer selezionato. Prevenzione dell'esecuzione supporta una serie di estensioni di file Office e una serie di interpreti di script.

Per utilizzare il componente Prevenzione dell'esecuzione, è necessario aggiungere regole di prevenzione dell'esecuzione. Regola di prevenzione dell'esecuzione è un insieme di criteri che l'applicazione prende in considerazione quando reagisce all'esecuzione di un oggetto, ad esempio quando blocca l'esecuzione di un oggetto. L'applicazione identifica i file in base ai loro percorsi o checksum calcolati utilizzando gli algoritmi di hash MD5 e SHA256.

Azione in caso di esecuzione o apertura di un oggetto vietato

Blocca e scrivi nel rapporto. In questa modalità, l'applicazione blocca l'esecuzione di oggetti o l'apertura di documenti che soddisfano i criteri della regola di prevenzione. L'applicazione pubblica anche un evento sui tentativi di esecuzione di oggetti o apertura di documenti nel registro eventi di Windows e nel registro eventi di Kaspersky Security Center.

Registra soltanto. In questa modalità, Kaspersky Endpoint Security pubblica un evento sui tentativi di esecuzione di oggetti eseguibili o apertura di documenti che corrispondono ai criteri della regola di prevenzione nel registro eventi di Windows e in Kaspersky Security Center, ma non blocca il tentativo di esecuzione o apertura dell'oggetto o del documento. Questa modalità è selezionata per impostazione predefinita.

Sandbox cloud

Sandbox cloud è una tecnologia che consente di rilevare le minacce avanzate in un computer. Kaspersky Endpoint Security inoltra automaticamente i file rilevati a Sandbox cloud per l'analisi. Sandbox cloud esegue questi file in un ambiente isolato per identificare le attività dannose e prendere decisioni sulla loro reputazione. I dati contenuti in questi file vengono quindi inviati a Kaspersky Security Network. Pertanto, se Sandbox cloud rileva un file dannoso, Kaspersky Endpoint Security eseguirà l'azione appropriata per eliminare questa minaccia in tutti i computer in cui viene rilevato tale file.

La tecnologia Sandbox cloud è sempre abilitata ed è disponibile per tutti gli utenti di Kaspersky Security Network indipendentemente dal tipo di licenza in uso.

Se questa casella di controllo è selezionata, Kaspersky Endpoint Security abiliterà il contatore delle minacce rilevate tramite Sandbox cloud nella finestra dell'applicazione principale in Tecnologie di rilevamento delle minacce. Kaspersky Endpoint Security indicherà anche la tecnologie di rilevamento delle minacce Sandbox cloud negli eventi delle applicazioni e nel Rapporto sulle minacce nella console Kaspersky Security Center.

Inizio pagina