Kaspersky Endpoint Security 12.9 for Windows introduce il supporto per le azioni di EDR Threat Response (EDR responses) utilizzando un'API. In altre parole, è possibile, ad esempio, creare script Python per eseguire azioni di EDR Threat Response. È possibile utilizzare questi script nelle soluzioni SIEM. Kaspersky Unified Monitoring and Analysis Platform, la soluzione Kaspersky SIEM, supporta l'API EDR Threat Response a partire dalla versione 3.4.1. Per script di esempio, fare riferimento alla documentazione di KUMA.
Quando risponde alle minacce EDR, l'applicazione consente di eseguire le seguenti azioni:
Per eseguire le azioni di EDR Threat Response, è necessario creare una richiesta e inviarla utilizzando KSC Open API (AddIncident). Dopo l'elaborazione della richiesta, viene creata un'attività speciale nella console di Kaspersky Security Center.
Per creare attività durante la risposta alle minacce EDR, è necessario stabilire una connessione in background tra Administration Server e Kaspersky Security Center Web Console. Il servizio di connessione in background è disponibile in Kaspersky Security Center Windows 14.2 o versioni successive e in Kaspersky Security Center Linux 15.2. Le altre console, incluse le console delle soluzioni Kaspersky Detection and Response, non sono supportate.