Endpoint Detection and Response Optimum
2. Juli 2024
ID 276062
Beginnend mit Version 12.1 enthält Kaspersky Endpoint Security for Mac einen integrierten Agenten für die Lösung "Kaspersky Endpoint Detection and Response Optimum" (im Weiteren auch "EDR Optimum"). Diese Lösung wurde entwickelt, um die IT-Infrastruktur von Unternehmen vor komplexen Cyberbedrohungen zu schützen. Die Funktionalität der Lösungen kombiniert die automatische Erkennung von Bedrohungen mit der Fähigkeit, auf diese Bedrohungen zu reagieren. Dadurch Weise werden fortschrittliche Angriffe effektiv abgewehrt, einschließlich neuartiger Exploits, Ransomware, dateiloser Angriffe sowie Methoden, die legitime Systemtools ausnutzen. Weitere Informationen zu diesen Lösungen finden Sie in der Hilfe von Kaspersky Endpoint Detection and Response Optimum.
Kaspersky Endpoint Detection and Response überprüft und analysiert die Entwicklung der Bedrohung und stellt dem Sicherheitspersonal oder dem Administrator die Informationen über einen potenziellen Angriff zur Verfügung, die für eine zeitnahe Reaktion erforderlich sind. Kaspersky Endpoint Detection and Response zeigt die Alarmdetails in einem separaten Fenster an. Die Alarmdetails sind ein Tool zum Anzeigen aller gesammelten Informationen über eine erkannte Bedrohung. Zu den Alarmdetails gehört beispielsweise der Verlauf der auf dem Computer veränderten Dateien. Weitere Informationen zur Verwaltung der Alarmdetails finden Sie in der Hilfe zu Kaspersky Endpoint Detection and Response Optimum.
Hinweis: Sie können EDR Optimum sowohl in Web Console als auch in der Cloud Console konfigurieren.
Einstellungen von Endpoint Detection and Response (KATA)
Parameter | Beschreibung |
|---|---|
Netzwerkisolation | Automatische Isolation des Computers vom Netzwerk als Reaktion auf erkannte Bedrohungen. Wenn die Netzwerkisolation aktiviert ist, trennt die Anwendung alle aktiven Verbindungen und blockiert alle neuen TCP/IP-Verbindungen auf dem Computer. Die Anwendung behält nur die folgenden Verbindungen bei:
|
Isolierten Computer nach n Stunden automatisch entsperren | Die Netzwerkisolation kann automatisch nach einem bestimmten Zeitraum oder manuell deaktiviert werden. Standardmäßig deaktiviert Kaspersky Endpoint Security die Netzwerkisolation 8 Stunden nach Beginn der Isolation. |
Ausnahmen für die Netzwerkisolation | Liste mit Regeln für die Ausnahmen von der Netzwerkisolation. Netzwerkverbindungen, die den Regeln entsprechen, werden auf Computern mit aktivierter Netzwerkisolation nicht blockiert. Um die Ausnahmen für die Netzwerkisolation zu konfigurieren, können Sie eine Liste mit Standardnetzwerkprofilen verwenden. Zu den Ausnahmen gehören standardmäßig Netzwerkprofile, deren Regeln den unterbrechungsfreien Betrieb von Geräten sicherstellen, die als Server bzw. Clients für DNS/DHCP betrieben werden. Sie können die Einstellungen der Standardnetzwerkprofile auch ändern oder manuell Ausnahmen definieren. Wichtig: Die in den Richtlinieneigenschaften angegebenen Ausnahmen werden nur angewendet, wenn die Netzwerkisolation als Reaktion auf eine erkannte Bedrohung automatisch aktiviert wird. Die in den Computereigenschaften angegeben Ausnahmen werden nur angewendet, wenn die Netzwerkisolation in den Computereigenschaften der Konsole von Kaspersky Security Center oder in den Alarmdetails manuell aktiviert wird. |
Ausführungsprävention | Mit der Ausführungsprävention kann das Starten von ausführbaren Dateien und Skripten sowie das Öffnen von Dateien im Office-Format verwaltet werden. Auf diese Weise können Sie beispielsweise die Ausführung von Anwendungen verhindern, die Sie als unsicher einstufen. Dies kann die Ausbreitung einer Bedrohung begrenzen. Die Ausführungsprävention unterstützt eine Reihe von Skriptinterpretern. Um die Komponente "Ausführungsprävention" verwenden zu können, müssen Sie dieser Regeln für die Ausführungsprävention hinzufügen. Die Regel für die Ausführungsprävention ist eine Zusammenstellung von Kriterien, die von der Anwendung berücksichtigt werden, wenn sie auf die Ausführung eines Objekts reagiert, beispielsweise wenn das Starten eines Objekts blockiert wird. Die Anwendung identifiziert Dateien anhand ihres Pfads oder ihrer Prüfsummen, die mithilfe der MD5- und SHA256-Hash-Algorithmen berechnet wurden. |
Aktion beim Starten oder Öffnen eines verbotenen Objekts | Blockieren und protokollieren. In diesem Modus blockiert die Anwendung den Start von Objekten oder das Öffnen von Dokumenten, die den Kriterien der Präventionsregel entsprechen. Zusätzlich veröffentlicht die Anwendung im Ereignisprotokoll von Kaspersky Security Center ein Ereignis über Versuche, Objekte zu starten oder Dokumente zu öffnen. Nur protokollieren. In diesem Modus veröffentlicht Kaspersky Endpoint Security im Ereignisprotokoll von Kaspersky Security Center ein Ereignis über den Start von Objekten oder das Öffnen von Dokumenten, die den Kriterien der Präventionsregel entsprechen. Allerdings wird das Starten oder Öffnen des Objekts nicht blockiert. Diese Variante ist standardmäßig ausgewählt. |
Cloud Sandbox | Cloud Sandbox ist eine Technologie, mit der Sie komplexe Bedrohungen auf einem Computer erkennen können. Kaspersky Endpoint Security überträgt gefundene Dateien automatisch an Cloud Sandbox zur Analyse weiter. Cloud Sandbox führt diese Dateien in einer isolierten Umgebung aus, um bösartige Aktivitäten zu erkennen und eine Entscheidung über ihre Reputation zu treffen. Die Informationen über diese Dateien werden anschließend an Kaspersky Security Network gesendet. Wenn Cloud Sandbox eine bösartige Datei erkannt hat, führt Kaspersky Endpoint Security eine entsprechende Aktion aus, um die Bedrohung auf allen Computern zu entfernen, auf denen diese Datei gefunden wurde. Hinweis: Cloud Sandbox ist dauerhaft aktiviert und steht allen Benutzern von Kaspersky Security Network unabhängig von deren verwendeten Lizenztyp zur Verfügung. |