Endpoint Detection and Response

В Kaspersky Endpoint Security для Windows включен встроенный агент для работы решения Kaspersky Endpoint Detection and Response Optimum (далее также "EDR Optimum"). Начиная с версии Kaspersky Endpoint Security для Windows 11.8.0 в приложение добавлен встроенный агент для работы решения Kaspersky Endpoint Detection and Response Expert (далее также "EDR Expert"). Решения Kaspersky Endpoint Detection and Response – решения, предназначенные для защиты IT-инфраструктуры организации от сложных кибернетических угроз. Функционал решений сочетает автоматическое обнаружение угроз с возможностью реагирования на эти угрозы для противодействия сложным атакам, в том числе новым эксплойтам (exploits), программам-вымогателям (ransomware), бесфайловым атакам (fileless attacks), а также методам, использующим законные системные инструменты. EDR Expert предлагает пользователю больше функций для мониторинга и реагирования на угрозы информационной безопасности, чем EDR Optimum. Подробнее о решениях см. в справке Kaspersky Endpoint Detection and Response Optimum и в справке Kaspersky Endpoint Detection and Response Expert.

Kaspersky Endpoint Detection and Response выполняет обзор и анализ развития угрозы и предоставляет Сотруднику службы безопасности или Администратору информацию о потенциальной атаке, необходимую для принятия своевременных действий по реагированию. Kaspersky Endpoint Detection and Response показывает детали алерта в отдельном окне. Алерт – это событие в ИТ-инфраструктуре организации, которое приложение отметило как необычное или подозрительное и которое может представлять угрозу безопасности ИТ-инфраструктуры организации. Детали алерта – инструмент для просмотра всей собранной информации об обнаруженной угрозе. Детали алерта содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями алерта см. в справке Kaspersky Endpoint Detection and Response Optimum и в справке Kaspersky Endpoint Detection and Response Expert.

Вы можете настроить параметры компонента EDR Optimum в Web Console и Cloud Console. Параметры компонента EDR Expert доступны только в Cloud Console.

Параметры Endpoint Detection and Response

Параметр

Описание

Сетевая изоляция

Автоматическая изоляция компьютера от сети в результате реагирования на обнаруженные угрозы.

После включения Сетевой изоляции приложение разрывает все активные соединения и блокирует все новые соединения TCP/IP на компьютере. Приложение оставляет активными только следующие соединения:

  • соединения, указанные в исключениях из Сетевой изоляции;
  • соединения, инициированные службами Kaspersky Endpoint Security;
  • соединения, инициированные Агентом администрирования Kaspersky Security Center.

Разблокировать автоматически изолированный компьютер через N часов

Сетевая изоляция может быть выключена автоматически по истечении заданного периода времени или вручную. По умолчанию, Kaspersky Endpoint Security выключает Сетевую изоляцию через 5 часов после начала изоляции.

Исключения из сетевой изоляции

Список правил исключений из Сетевой изоляции. Сетевые соединения, подпадающие под заданные правила, не будут заблокированы на компьютерах после включения Сетевой изоляции.

Для настройки исключений из Сетевой изоляции в приложении доступен список стандартных сетевых профилей. По умолчанию в исключения входят сетевые профили, состоящие из правил, обеспечивающих бесперебойную работу устройств с ролями DNS/DHCP-сервер и DNS/DHCP-клиент. Также вы можете изменить параметры стандартных сетевых профилей или задать исключения вручную.

Исключения, заданные в свойствах политики, применяются, только если Сетевая изоляция включена приложением автоматически, в результате реагирования на обнаружение угрозы. Исключения, заданные в свойствах компьютера, применяются, только если Сетевая изоляция включена вручную в свойствах компьютера в консоли Kaspersky Security Center или в деталях алерта.

Запрет запуска объектов

Контроль запуска исполняемых файлов и скриптов, а также открытия файлов офисного формата. Например, вы можете запретить запуск приложений, использование которых считается небезопасным, на выбранном компьютере. Запрет запуска объектов поддерживает определенный набор расширений файлов офисного формата и определенный набор интерпретаторов скриптов.

Для работы Запрета запуска объектов вам нужно добавить правила запрета запуска объектов. Правило запрета запуска – это набор критериев, которые приложение учитывает при реагировании на запуск объекта, например, при блокировании запуска объекта. Приложение идентифицирует файлы по их пути или контрольной сумме с помощью алгоритмов хеширования MD5 и SHA256.

Действие при запуске или открытии объекта

Блокировать и записывать в отчет. В этом режиме приложение блокирует запуск объектов или открытие документов, соответствующих критериям правил запрета. Также приложение публикует в журнал событий Windows и Kaspersky Security Center событие о попытках запуска объектов или открытия документов.

Только записывать в отчет. В этом режиме Kaspersky Endpoint Security публикует в Журнал событий Windows и Kaspersky Security Center событие о попытках запуска исполняемых объектов или открытия документов, соответствующих критериям правил запрета, но не блокирует их запуск или открытие. Этот режим выбран по умолчанию.

Cloud Sandbox

Cloud Sandbox – технология, которая позволяет обнаруживать сложные угрозы на компьютере. Kaspersky Endpoint Security автоматически отправляет обнаруженные файлы в Cloud Sandbox для анализа. Cloud Sandbox запускает эти файлы в изолированной среде для выявления вредоносной активности и принимает решение о репутации этих файлов. Далее данные об этих файлах попадают в Kaspersky Security Network. Таким образом, если Cloud Sandbox обнаружил вредоносный файл, Kaspersky Endpoint Security выполнит действие для устранения угрозы на всех компьютерах, на которых обнаружит этот файл.

Технология Cloud Sandbox включена постоянно и доступна всем пользователям Kaspersky Security Network независимо от типа лицензии, которую вы используете.

Если флажок установлен, Kaspersky Endpoint Security включит счетчик угроз, обнаруженных с помощью Cloud Sandbox, в главном окне приложения в разделе Технологии обнаружения угроз. Также Kaspersky Endpoint Security будет указывать технологию обнаружения угроз Cloud Sandbox в событиях приложения и в Отчет об угрозах в консоли Kaspersky Security Center.

В начало