Приложение Kaspersky Endpoint Security может выполнять ответные действия, направленные на обеспечение функций безопасности:
Параметры ответных действий Kaspersky Anti Targeted Attack Platform и Kaspersky Endpoint Detection and Response Optimum отличаются.
Приложение Kaspersky Endpoint Security может выполнять следующие ответные действия:
Действие выполняется с помощью задачи Получить файл (Get file task). Например, вы можете настроить получение файла журнала событий, который создает сторонняя программа.
Действие выполняется с помощью задачи Удалить файл (Delete file task).
Действие выполняется с помощью задачи Запустить процесс (Run process).
Например, вы можете удаленно запустить утилиту, которая создает файл с конфигурацией устройства, а затем получить созданный файл с помощью задачи Получить файл.
Действие выполняется с помощью задачи Завершить процесс (Terminate process).
Например, вы можете удаленно завершить работу утилиты проверки скорости интернета, которая была запущена с помощью задачи запуска процесса.
Действие выполняется с помощью задачи Поиск IOC (IOC Scan).
При выполнении задачи Поиск IOC проверка по IOC-терминам (свойствам IOC-объекта, например, хеш-сумме файла) выполняется только в основном пространстве имен операционной системы. Задача Поиск IOC не вычисляет хеш-суммы файлов размером более 200 МБ.
При взаимодействии Kaspersky Endpoint Security с Kaspersky Endpoint Detection and Response Optimum вы можете:
При взаимодействии Kaspersky Endpoint Security с Kaspersky Endpoint Detection and Response (KATA) вы можете:
Подробнее о решении см. в справке Kaspersky Anti Targeted Attack Platform.
Ограничения сетевой изоляции
При использовании сетевой изоляции настоятельно рекомендуется ознакомиться с ограничениями, описанными ниже.
Для работоспособности сетевой изоляции требуется, чтобы приложение Kaspersky Endpoint Security было запущено. Во время сбоя в работе приложения Kaspersky Endpoint Security (когда приложение не запущено), блокировка трафика при включении сетевой изоляции решением Kaspersky Anti Targeted Attack Platform или Kaspersky Endpoint Detection and Response Optimum не гарантируется.
Транзитный трафик при включенной сетевой изоляции поддерживается с ограничениями и может фильтроваться.
DHCP и DNS в исключения из сетевой изоляции автоматически не добавляются, поэтому если сетевой адрес какого-то ресурса был изменен во время сетевой изоляции, приложение Kaspersky Endpoint Security не сможет получить к нему доступ. Это же относится к узлам отказоустойчивого сервера KATA. Не рекомендуется менять их адреса, чтобы приложение Kaspersky Endpoint Security не потеряло с ними связь.
Прокси-сервер также в исключения из сетевой изоляции автоматически не добавляется, поэтому требуется добавить его в исключения вручную, чтобы приложение Kaspersky Endpoint Security не потеряло связь с сервером KATA.
Добавление процесса в сетевую изоляцию и исключение процесса из сетевой изоляции по имени не поддерживается.
Если приложение Kaspersky Endpoint Security используется в стандартном режиме, при использовании сетевой изоляции рекомендуется:
В случае невозможности использования Kaspersky Security Center в качестве прокси-сервера настройте параметры нужного прокси-сервера и добавьте его в исключения.
Эти рекомендации неприменимы, если приложение Kaspersky Endpoint Security используется в режиме Легкого агента.
В начало