Что нового

В Kaspersky EDR Expert (локальная версия) 8.0 (далее также Kaspersky EDR Expert) реализован ряд новых функций и улучшений:

• Доступен новый инструмент миграции, с помощью которого можно перейти с Kaspersky EDR 7.1 на Kaspersky EDR Expert 8.0. Для развертывания на одном узле и распределенного решения отдельные сценарии. Данные телеметрии переносятся отдельно.
• Системные требования были снижены.
• Kaspersky EDR Expert теперь работает на новой мощной платформе под названием Open Single Management Platform (далее OSMP). OSMP предоставляет следующие новые возможности:
  • Реализован новый интерфейс для работы с алертами и инцидентами.
  • Алерты и инциденты могут быть созданы на основе настраиваемых правил корреляции на сервере.
  • Добавлена возможность строить граф расследования инцидентов в дополнение к графу процессов.
  • Изменены методы проверки и обнаружения синтаксиса API, а также принципы авторизации.
  • При управлении пользователями появилась возможность изменения и удаления учетных записей пользователей, изменения ролей пользователей и назначения пользователю нескольких ролей.
  • Значительно улучшен интерфейс управления параметрами Kaspersky Endpoint Security.
  • Добавлены плейбуки, реализующие сценарии автоматического реагирования на определенные инциденты.
• Добавлены новые типы событий Kaspersky Endpoint Security для Windows:
  • Bits Job
  • Действия сервисов
  • Действия по расписанию
  • Монтирование и размонтирование файловой системы
  • Изменение владельца файла
  • File ACL Change
  • Registry Owner Change
  • Изменение списка управления доступом к реестру
  • События компонента Endpoint Agent
• Добавлены новые типы событий Kaspersky Endpoint Security для Linux, а уже существующие типы были дополнены:
  • Действия устройства
  • Монтирование и размонтирование файловой системы
  • Отображение памяти исполняемого файла
  • Интерактивный ввод для консоли процессов
  • File Owner Change
  • File ACL Change
  • Действия сервисов
  • Задача по расписанию
  • События компонента Endpoint Agent
• Мониторинг работоспособности компонентов: теперь вы можете отслеживать ключевые показатели производительности компонентов платформы с помощью Grafana или собственных инструментов мониторинга.
• Переработана модель данных событиях для Kaspersky EDR Expert.
• Для раздела "Центр поиска угроз" в портале Threat Intelligence Portal добавлена возможность просматривать логику IoA-правил, изложенную на языке, схожем с Sigma.
• Логика обнаружения IoA перенесена в Endpoint Agent.
• Добавлена поддержка пользовательских IoA-правил для цепочек событий.
• Настройка пользовательских исключений из правил IoA теперь проводится с помощью политик Kaspersky Endpoint Security.
• Для Kaspersky Endpoint Security для Windows и Kaspersky Endpoint Security для Linux добавлены политики, с помощью которых можно исключать результаты телеметрии, с фильтрацией по нескольким полям для всех типов событий.
• Для политик Kaspersky Endpoint Security для Windows и Kaspersky Endpoint Security для Linux добавлена возможность собирать телеметрию в более широком спектре, включая следующие параметры:
  • Получение событий "Чтение файла" для указанных файлов (полное имя).
  • Получение событий "Доступ к процессу" для указанных процессов (имя процесса).
  • Получение дополнительных событий журнала событий Windows.
• Добавлена возможность сбора событий из пользовательских журналов Linux.
• Изменены параметры подключения для Endpoint Agent: теперь для отправки телеметрии и действий по реагированию используются отдельные подключения.
• Добавлена возможность установки Kaspersky Endpoint Security для Linux при наличии сторонних антивирусных решений.
• Появилась возможность создания инцидентов Managed Detection and Response из инцидентов Kaspersky EDR Expert.
• Для аналитика Managed Detection and Response добавлена возможность запрашивать данные алертов Kaspersky EDR Expert.
• Добавлена возможность запускать команды на защищенных устройствах с Windows и Linux через удаленный терминал:
  • Отображение и выполнение команд в консоли удаленного устройства.
  • Выполнение действий по реагированию с помощью удаленного терминала.
• Возможности действий по регированию на устройствах с установленным Kaspersky Endpoint Security для Linux расширены: теперь в их перечень входят действия по реагированию, доступные в Kaspersky Endpoint Security для Windows:
  • Сканирование YARA для памяти, точек автозапуска, указанных директорий и всех локальных дисков.
  • Получение данных для расследования – списка файлов, списка процессов, списка точек автозапуска, дампа памяти процесса, полного дампа памяти, образа диска.
• Расширен отчет о YARA-проверке через CMD. Отчет теперь включает в себя имя хоста, все обнаружения и MD5 и SHA256-хеши проверенных объектов. С подробностями о данной функции можно ознакомиться в документации для Kaspersky Endpoint Security для Windows.
• Добавлена автоматическая отправка файлов в Sandbox. Функция, которая улучшает качество обнаружения угроз, доступна на устройствах с установленным Kaspersky Endpoint Security для Windows или Kaspersky Endpoint Security для Linux.
• Расширены возможности операций по диагностике.
• Добавлены новые функции, основанные на работе с ИИ:
  • Создание поисковых запросов SQL в разделе Поиск угроз при поддержке ИИ-помощника.
  • Обнаружение атак DLL Hijacking, при которых легитимное приложение загружает вредоносную библиотеку DLL, подменяющую оригинальную библиотеку.
  • Анализ поведения учетной записи и создание алертов при обнаружении подозрительных действий или признаков взлома учетной записи, которые могут сигнализировать о возможном боковом смещении.
  • Создание отчета по алерту или инциденту на основе всей доступной информации.
  • Предоставление пояснений к полям событий, полученным от защищаемых устройств.

В начало