Endpoint Detection and Response Optimum
27 de junio de 2024
ID 276062
A partir de la versión 12.1, Kaspersky Endpoint Security for Mac incluye un agente integrado para la solución Kaspersky Endpoint Detection and Response Optimum (en adelante, también “EDR Optimum”). Esta solución está diseñada para proteger la infraestructura de TI corporativa frente a las ciberamenazas avanzadas. La funcionalidad de las soluciones combina la detección automática de amenazas con la capacidad de reaccionar a estas amenazas para contrarrestar ataques avanzados, incluidos nuevos exploits, ransomware, ataques sin archivos, así como métodos que utilizan herramientas legítimas del sistema. Para obtener detalles sobre esta solución, consulte la Ayuda de Kaspersky Endpoint Detection and Response Optimum.
Kaspersky Endpoint Detection and Response revisa y analiza el desarrollo de amenazas y proporciona al personal de seguridad o al Administrador información sobre el posible ataque que es necesaria para una respuesta oportuna. Kaspersky Endpoint Detection and Response muestra los detalles de la alerta en una ventana separada. Detalles de alerta es una herramienta para ver toda la información recopilada sobre una amenaza detectada. Los detalles de la alerta incluyen, por ejemplo, el historial de archivos que aparecen en el ordenador. Para obtener más información sobre la administración de los detalles de las alertas, consulte la Ayuda de Kaspersky Endpoint Detection and Response Optimum.
Nota: Puede configurar el componente EDR Optimum en Web Console y Cloud Console.
Configuración de Endpoint Detection and Response
Parámetro | Descripción |
|---|---|
Aislamiento de red | Aislamiento automático del ordenador de la red en respuesta a amenazas detectadas. Cuando el aislamiento de red está activado, la aplicación corta todas las conexiones activas y bloquea todas las conexiones nuevas de TCP/IP en el ordenador. La aplicación solo deja activas las siguientes conexiones:
|
Desbloquear automáticamente el ordenador aislado en N horas | El aislamiento de red se puede desactivar de forma automática después de un tiempo especificado o manualmente. De manera predeterminada, Kaspersky Endpoint Security desactiva el aislamiento de red 8 horas después del inicio del aislamiento. |
Exclusiones del aislamiento de red | Lista de reglas para las exclusiones del aislamiento de red. Las conexiones de red que coinciden con las reglas no se bloquean en los ordenadores cuando el aislamiento de red está activado. Para configurar las exclusiones del aislamiento de red, puede utilizar una lista de perfiles de red estándar. De manera predeterminada, las exclusiones incluyen perfiles de red con reglas que garantizan el funcionamiento ininterrumpido de los dispositivos con el servidor DNS/DHCP y las funciones de cliente DNS/DHCP. También puede modificar la configuración de los perfiles de red estándar o definir exclusiones manualmente. Importante: Las exclusiones especificadas en las propiedades de la directiva se aplican solo si el aislamiento de red se activa automáticamente en respuesta a una amenaza detectada. Las exclusiones especificadas en las propiedades del ordenador se aplican solo si el aislamiento de red se activa manualmente en las propiedades del ordenador de la consola de Kaspersky Security Center o en los detalles de la alerta. |
Prevención de ejecución | Prevención de ejecución permite administrar la ejecución de archivos ejecutables y scripts, así como abrir archivos en formato Office. De esta manera, por ejemplo, puede evitar la ejecución de aplicaciones que considere inseguras. Como resultado, se puede detener la propagación de la amenaza. La prevención de ejecución admite un conjunto de intérpretes de scripts. Para usar el componente de Prevención de ejecución, debe añadir reglas de prevención de ejecución. La regla de prevención de ejecución es un conjunto de criterios que la aplicación tiene en cuenta cuando reacciona a la ejecución de un objeto, por ejemplo, cuando bloquea la ejecución de un objeto. La aplicación identifica archivos por las rutas o sumas de verificación que se calculan mediante algoritmos hash MD5 y SHA256. |
Acción al ejecutar o abrir un objeto prohibido | Bloquear y escribirlo en el informe. En este modo, la aplicación bloquea la ejecución de objetos o la apertura de documentos que coinciden con los criterios de la regla de prevención. La aplicación también publica un evento sobre los intentos de ejecutar objetos o abrir documentos en el registro de eventos de Kaspersky Security Center. Solo registrar eventos. En este modo, Kaspersky Endpoint Security publica un evento sobre los intentos de ejecutar objetos ejecutables o abrir documentos que coinciden con los criterios de la regla de prevención en el registro de eventos de Kaspersky Security Center, pero no bloquea el intento de ejecutar o abrir el objeto o documento. Este modo está seleccionado de manera predeterminada. |
Sandbox en la nube | Sandbox en la nube es una tecnología que le permite detectar amenazas avanzadas en un ordenador. Kaspersky Endpoint Security reenvía automáticamente los archivos detectados para analizarse a Sandbox en la nube. Sandbox en la nube ejecuta estos archivos en un entorno aislado para identificar la actividad maliciosa y decide su reputación. Luego, los datos de estos archivos se envían a Kaspersky Security Network. Por lo tanto, si Cloud Sandbox ha detectado un archivo malicioso, Kaspersky Endpoint Security realizará la acción apropiada para eliminar esta amenaza en todos los ordenadores en los que se detecte este archivo. Nota: La tecnología de Sandbox en la nube está siempre activada y disponible para todos los usuarios de Kaspersky Security Network, independientemente del tipo de licencia que usen. |