Интеграция с Kaspersky Industrial CyberSecurity Endpoint Detection and Response

Kaspersky Industrial CyberSecurity Endpoint Detection and Response – решение, предназначенное для защиты IT-инфраструктуры организации от таких угроз, как эксплойты (англ. exploits), программы-вымогатели (англ. ransomware), бесфайловые атаки (англ. fileless attacks) и использование злоумышленниками законных системных инструментов для нанесения вреда устройствам или данным.

Интеграцию приложения Kaspersky Industrial CyberSecurity for Linux Nodes с решением Kaspersky Industrial CyberSecurity Endpoint Detection and Response обеспечивает компонент приложения Kaspersky Industrial CyberSecurity for Linux Nodes – Industrial CyberSecurity Endpoint Detection and Response (далее также ICS EDR).

Kaspersky Industrial CyberSecurity Endpoint Detection and Response выполняет мониторинг и анализ развития угрозы, а также предоставляет сотруднику службы безопасности или администратору информацию о потенциальной атаке, необходимую для принятия своевременных действий по реагированию.

Kaspersky Industrial CyberSecurity Endpoint Detection and Response использует следующие средства анализа угроз (Threat Intelligence):

Инфраструктура облачных служб Kaspersky Security Network (далее также KSN), предоставляющая доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-сайтов и программного обеспечения.
Интеграция с порталом Kaspersky Threat Intelligence Portal, который содержит и отображает информацию о репутации файлов и веб-сайтов.
База угроз "Лаборатории Касперского" Kaspersky Threats.

Приложение Kaspersky Industrial CyberSecurity for Linux Nodes 2.0 совместимо с решением Kaspersky Industrial CyberSecurity Endpoint Detection and Response версии 3.0.

В составе Kaspersky Industrial CyberSecurity for Linux Nodes версии ниже 2.0 компонент ICS EDR отсутствует.

При взаимодействии с Kaspersky Industrial CyberSecurity Endpoint Detection and Response приложение Kaspersky Industrial CyberSecurity for Linux Nodes может выполнять следующие функции:

Отправлять в Kaspersky Security Center данные о событиях на устройствах. Приложение Kaspersky Industrial CyberSecurity for Linux Nodes передает в Kaspersky Security Center данные наблюдения за процессами, открытыми сетевыми соединениями и изменяемыми файлами, а также данные об угрозах, обнаруженных приложением, и данные о результатах обработки этих угроз.
Выполнять ответные действия, направленные на обеспечение функций безопасности, по командам, полученным от Kaspersky Security Center.

Интеграция с Kaspersky Industrial CyberSecurity Endpoint Detection and Response состоит из следующих этапов:

Включение необходимых компонентов Kaspersky Industrial CyberSecurity for Linux Nodes
Убедитесь, что следующие компоненты Kaspersky Industrial CyberSecurity for Linux Nodes включены и работают:
Вы также можете включить запрет запуска объектов.
Включение средств анализа угроз
Убедитесь, что включен Kaspersky Security Network в стандартном или расширенном режиме.

Для наиболее эффективной работы Kaspersky Industrial CyberSecurity Endpoint Detection and Response рекомендуется использовать Kaspersky Security Network в расширенном режиме.
Активация компонента ICS EDR
Убедитесь, что соблюдено одно из следующих условий:
- Вы используете приложение Kaspersky Industrial CyberSecurity for Linux Nodes по лицензии, которая включает функциональность Kaspersky Industrial CyberSecurity Endpoint Detection and Response.
- Вы приобрели отдельную лицензию на использование функциональности Kaspersky Industrial CyberSecurity Endpoint Detection and Response и добавили в приложение дополнительный лицензионный ключ ICS EDR.
Установка плагина управления Kaspersky Industrial CyberSecurity Endpoint Detection and Response
Плагин управления Kaspersky Industrial CyberSecurity Endpoint Detection and Response является единым плагином для работы с агентами на операционных системах Windows, Mac и Linux и требуется для отображения и просмотра деталей алертов.
Включение интеграции с решением Kaspersky Industrial CyberSecurity Endpoint Detection and Response
По умолчанию интеграция Kaspersky Industrial CyberSecurity for Linux Nodes с Kaspersky Industrial CyberSecurity Endpoint Detection and Response выключена. Вы можете включать и выключать интеграцию, а также настраивать параметры интеграции:
- с помощью Web Console;
- с помощью командной строки.
  Управление компонентом ICS EDR с помощью Консоли администрирования Kaspersky Security Center не поддерживается.
Вы можете проверить статус работы компонента ICS EDR:
- C помощью Отчета о статусе компонентов приложения в Web Console.
  В список компонентов Kaspersky Industrial CyberSecurity for Linux Nodes добавлен компонент Industrial CyberSecurity Endpoint Detection and Response. Подробную информацию о работе с отчетами см. в справке Kaspersky Security Center.
- В свойствах устройства в Web Console.
- С помощью командной строки.
Включение передачи данных на Сервер администрирования
Для использования всех возможностей Kaspersky Industrial CyberSecurity Endpoint Detection and Response вам нужно настроить следующие параметры:
- Включить отправку в хранилище Kaspersky Security Center информации о файлах в резервном хранилище и на карантине. Для этого вам нужно в свойствах политики установить флажки:
  - О файлах резервного хранилища.
  - О файлах карантина.
- Разрешить отображение списка алертов. Для этого вам нужно включить переключатель Показать EDR-алерты в главном окне Web Console в разделе Параметры → Параметры интерфейса.
  Параметр Показать EDR-алерты отсутствует в Web Console версии ниже 15.1.

См. также

Ответные действия по командам от решений Detection and Response

В этом разделе

Включение и выключение интеграции с Kaspersky Industrial CyberSecurity Endpoint Detection and Response

Просмотр статуса интеграции с Kaspersky Industrial CyberSecurity Endpoint Detection and Response

Просмотр информации об обнаруженной угрозе и действиях по реагированию

В начало