Endpoint Detection and Response
Aplikace Kaspersky Endpoint Security 11.7.0 má nyní integrovaného agenta pro řešení Kaspersky Endpoint Detection and Response Optimum (dále také „EDR Optimum“). Aplikace Kaspersky Endpoint Security 11.8.0 má nyní integrovaného agenta pro řešení Kaspersky Endpoint Detection and Response Expert (dále také „EDR Expert“). Kaspersky Endpoint Detection and Response je řada řešení pro ochranu podnikové IT infrastruktury před pokročilými kybernetickými hrozbami. Funkce řešení kombinuje automatickou detekci hrozeb se schopností reagovat na tyto hrozby a čelit tak pokročilým útokům včetně nových exploitů, ransomwaru, bezsouborových útoků a metod využívajících legitimní systémové nástroje. EDR Expert nabízí více funkcí sledování hrozeb a reakce na ně než EDR Optimum. Podrobnosti o těchto řešeních najdete v nápovědě k řešení Kaspersky Endpoint Detection and Response Optimum a nápovědě k řešení Kaspersky Endpoint Detection and Response Expert.
Kaspersky Endpoint Detection and Response kontroluje a analyzuje vývoj hrozeb a poskytuje bezpečnostním pracovníkům nebo správci informace o potenciálním útoku, které jsou nezbytné pro včasnou reakci. Kaspersky Endpoint Detection and Response zobrazí podrobnosti o výsledcích detekce v samostatném okně. Podrobnosti o výsledcích detekce je nástroj pro prohlížení všech shromážděných informací o detekované hrozbě. Mezi výsledky detekce patří například historie souborů objevujících se v počítači. Podrobnosti o správě podrobností o výsledcích detekce najdete v nápovědě k řešení Kaspersky Endpoint Detection and Response Optimum a nápovědě k řešení Kaspersky Endpoint Detection and Response Expert.
Součást EDR Optimum můžete nakonfigurovat ve webové konzole a v cloudové konzole. Nastavení součásti pro nástroj EDR Expert je k dispozici pouze v cloudové konzole.
Nastavení součásti Endpoint Detection and Response
Parametr | Popis |
|---|---|
Izolace sítě | Automatická izolace počítače od sítě v reakci na zjištěné hrozby. Když je izolace sítě zapnutá, aplikace přeruší všechna aktivní připojení a zablokuje všechna nová připojení TCP/IP v počítači. Aplikace ponechává aktivní pouze následující připojení:
|
Automaticky odemknout izolovaný počítač za N hodin | Izolaci sítě lze vypnout automaticky po určené době nebo ručně. Ve výchozím nastavení aplikace Kaspersky Endpoint Security vypne izolaci sítě 5 hodin po zahájení izolace. |
Network isolation exclusions | Seznam pravidel pro výjimky z izolace sítě. Síťová připojení, která odpovídají pravidlům, nejsou na počítačích blokována, když je zapnutá izolace sítě. Chcete-li nakonfigurovat výjimky z izolace sítě, můžete použít seznam standardních síťových profilů. Ve výchozím nastavení zahrnují výjimky síťové profily obsahující pravidla, která zajišťují nepřetržitý provoz zařízení s rolemi serveru DNS/DHCP a klienta DNS/DHCP. Můžete rovněž upravit nastavení standardních síťových profilů nebo výjimky definovat ručně. Výjimky uvedené ve vlastnostech zásad se použijí pouze v případě, že je izolace sítě automaticky zapnuta v reakci na zjištěnou hrozbu. Výjimky uvedené ve vlastnostech počítače se použijí pouze v případě, že je ve vlastnostech počítače v konzole Kaspersky Security Center ručně zapnuta izolace sítě. |
Prevence spouštění | Ovládejte spouštění spustitelných souborů a skriptů a otevírání souborů ve formátu aplikací Office. Můžete například zabránit spouštění aplikací, které jsou na vybraném počítači považovány za nezabezpečené. Prevence spouštění podporuje sadu přípon kancelářských souborů a sadu interpretů skriptů. |
Action on execution or opening of forbidden object | Block and write to report. V tomto režimu aplikace blokuje spouštění objektů nebo otevírání dokumentů, které odpovídají kritériím pravidla prevence. Aplikace také publikuje událost o pokusech o spuštění objektů nebo otevření dokumentů do protokolu událostí systému Windows a protokolu událostí aplikace Kaspersky Security Center. Log events only. V tomto režimu aplikace Kaspersky Endpoint Security publikuje událost o pokusech o spuštění spustitelných objektů nebo otevřených dokumentech, které odpovídají kritériím pravidel prevence do protokolu událostí systému Windows a Kaspersky Security Center, ale neblokuje pokus o spuštění nebo otevření objektu nebo dokumentu. Tento režim je ve výchozím nastavení vybrán. |
Pravidla prevence spouštění | Seznam pravidel prevence spouštění objektů. Pravidlo prevence spouštění je sada kritérií, která se berou v úvahu při blokování. Aplikace identifikuje soubory podle jejich cest nebo kontrolních součtů vypočítaných pomocí algoritmů hash MD5 a SHA256. |