Базовая среда выполнения, включающая кластер Kubernetes и компоненты инфраструктуры для работы Kaspersky EDR Expert. Bootstrap входит в транспортный архив и автоматически устанавливается при развертывании Kaspersky EDR Expert.
Утилита, используемая для развертывания и управления кластером Kubernetes, компонентами Kaspersky EDR Expert и веб-плагинами управления. KDT работает на устройстве администратора и подключается к целевым устройствам с помощью SSH.
Протокол взаимодействия с Kaspersky Endpoint Security на мобильных устройствах. Протокол LWNGT (также мобильный протокол) выполняет роль Агента администрирования без фактической установки Агента администрирования на мобильные устройства.
Служба Windows, которая помогает операционной системе идентифицировать текущую сеть. NLA обнаруживает изменения в сети и настраивает конфигурацию безопасности устройства.
Компонент приложения. Запускает виртуальные образы операционных систем. Запускает файлы в этих операционных системах и отслеживает поведение файлов в каждой операционной системе для выявления вредоносной активности и признаков целевых атак на IT-инфраструктуру организации.
Сервисы KUMA, которые используются для получения событий на удаленных устройствах и пересылки их коллекторам KUMA.
Open Single Management Platform – это компонент, обеспечивающий взаимодействие между Сервером администрирования и приложениями "Лаборатории Касперского", установленными на конкретном сетевом узле (рабочей станции или сервере). Этот компонент является единым для всех приложений, разработанных для систем Microsoft® Windows®. Для приложений "Лаборатории Касперского" для операционных систем UNIX и подобных им и macOS существуют отдельные версии Агента администрирования.
Устройство или пользователь защищаемой инфраструктуры. Если на активе обнаружен алерт или инцидент, вы можете выполнить действия по реагированию для этого актива.
Алгоритм, включающий последовательность действий по реагированию, которые помогают анализировать и обрабатывать алерты или инциденты.
Событие в ИТ-инфраструктуре организации, которое было отмечено Open Single Management Platform как необычное или подозрительное и которое может представлять угрозу безопасности ИТ-инфраструктуре организации.
Инструмент для визуального анализа, который показывает отношения между событиями, алертами, инцидентами, наблюдаемыми объектами и активами (устройствами). На графе расследования отображается подробная информация об инциденте: соответствующие алерты, пользователи, активы и их общие свойства.
Действия, запускаемые в плейбуках.
Архив, содержащий транспортный архив с компонентами Kaspersky EDR Expert и Лицензионные соглашения для Kaspersky EDR Expert и KDT, а также архив с утилитой KDT и шаблонами конфигурационного файла и файлом инвентаря KUMA.
Контейнер алертов, который обычно указывает на истинно положительное обнаружение проблемы в ИТ-инфраструктуре организации. Инцидент может содержать один или несколько алертов. Используя инциденты, аналитики могут исследовать несколько алертов как одну проблему.
Набор устройств, объединенных с помощью Kubernetes в один вычислительный ресурс. Кластер Kubernetes используется для работы компонентов Kaspersky EDR Expert (кроме сервисов KUMA). Кластер Kubernetes может включать в себя как целевые устройства, так и устройство администратора.
Сервис KUMA, который получает сообщения от источников событий, обрабатывает их, а затем передает их в хранилище, коррелятор и/или сторонние службы для идентификации алертов.
Набор параметров доступа, определяющих кластер Kubernetes, с которым пользователь может выбрать взаимодействие. Контекст также включает данные для подключения к кластеру с помощью KDT.
Файл в формате YAML, содержащий список целевых устройств для развертывания Kaspersky EDR Expert и набор параметров для установки компонентов Kaspersky EDR Expert. Конфигурационный файл используется KDT.
Сервис KUMA, анализирующий нормализованные события.
Этот режим позволяет главному администратору предоставлять функциональность Kaspersky EDR Expert нескольким клиентам независимо или разграничивать активы, параметры приложения и объекты, относящиеся к разным офисам. Кроме того, режим мультитенантности позволяет копировать и наследовать параметры и объекты тенанта от родительского тенанта, а также автоматически применять лицензионный ключ Kaspersky EDR Expert ко всем тенантам в иерархии.
Объекты, связанные с алертом и инцидентом, такие как хеши MD5 и SHA256, IP-адрес, веб-адрес, имя домена, имя пользователя или имя устройства.
Событие, которое обрабатывается в соответствии с нормализованной моделью данных событий KUMA.
Объект, который реагирует на алерты или инциденты в соответствии с заданным алгоритмом (алгоритмом плейбука). Плейбуки позволяют автоматизировать рабочие процессы и сокращать время, необходимое для обработки алертов и инцидентов.
Команды KDT позволяют выполнять дополнительные операции, специфичные для компонентов Kaspersky EDR Expert (кроме установки, обновления, удаления).
Правила, которые позволяют автоматически разделять связанные алерты на отдельные инциденты в зависимости от заданных условий.
Ресурс KUMA, используемый для распознавания определенных последовательностей обработанных событий и выполнения заданных действий после распознавания.
Приложение, включенное в систему защиты конечных устройств (Endpoint Protection Platform; EPP). Приложения EPP устанавливаются на конечных устройствах в ИТ-инфраструктуре организации (например, на мобильных устройствах, рабочих станциях или ноутбуках). Примером приложения EPP является Kaspersky Endpoint Security для Windows в составе решения EPP Kaspersky Endpoint Security для бизнеса.
Компонент инфраструктуры, в котором хранятся контейнеры программ и который используется для установки и хранения компонентов Kaspersky EDR Expert.
Основные компоненты KUMA, которые помогают системе управлять событиями. Сервисы позволяют получать события из источников событий и в дальнейшем приводить их к общему виду, удобному для поиска корреляций, а также для хранения и ручного анализа. Сервисы KUMA (агенты, коллекторы, корреляторы, хранилища и маршрутизаторы событий) устанавливаются на устройства, расположенные вне кластера Kubernetes.
События информационной безопасности, зарегистрированные на контролируемых элементах ИТ-инфраструктуры организации. Например, события включают попытки входа в систему, взаимодействия с базой данных и многоадресную рассылку информации. Каждое отдельное событие может показаться неинформативным, но, если рассматривать их вместе, они формируют более широкую картину сетевой активности, которая помогает идентифицировать угрозы безопасности.
Логический объект, соответствующий организационной единице (клиенту или офису), которой предоставляются функциональные возможности Kaspersky EDR Expert. Каждый тенант может включать в себя активы, пользователей и их права доступа, события, алерты, инциденты, плейбуки, а также интеграцию с другими приложениями, службами и решениями "Лаборатории Касперского". Также тенант определяет набор доступных операций с включенными объектами.
Архив, содержащий компоненты Kaspersky EDR Expert и веб-плагинов управления и Лицензионные соглашения Kaspersky EDR Expert и KDT. Транспортный архив включен в дистрибутив.
Физическая или виртуальная машина, на которой развернут Kaspersky EDR Expert. Есть первичный и рабочий узлы. Первичный узел предназначен для управления кластером, хранения метаданных и распределения рабочей нагрузки. Рабочие узлы предназначены для несения рабочей нагрузки компонентов Kaspersky EDR Expert.
Физическая или виртуальная машина, которая используется для развертывания и управления кластером Kubernetes и Kaspersky EDR Expert с помощью KDT. KDT работает на устройстве администратора. Если устройство администратора не включено в кластер Kubernetes, оно будет использоваться только для развертывания. Если устройство администратора включено в кластер, оно также будет действовать как целевое устройство, которое используется для работы компонентов Kaspersky EDR Expert.
Файл в формате YAML, который содержит параметры для установки сервисов KUMA, не включенных в кластер Kubernetes. Путь к файлу инвентаря KUMA включен в конфигурационный файл, который используется KDT для развертывания Kaspersky EDR Expert.
Сервис KUMA, который используется для хранения нормализованных событий, чтобы к ним можно было быстро и постоянно получать доступ из KUMA с целью извлечения аналитических данных.
Физические или виртуальные машины, на которых устанавливается Kaspersky EDR Expert. Целевые устройства включены в кластер Kubernetes. На этих устройствах работают компоненты Kaspersky EDR Expert.
Последовательность шагов, позволяющих отслеживать стадии кибератаки. Цепочка развития угроз позволяет проанализировать причины возникновения угрозы. Для создания цепочки развития угрозы управляемое приложение передает данные с устройства на Сервер администрирования с помощью Агента администрирования.
В начало