Antwort-Reaktionen auf Befehle von Detection and Response

Im Rahmen einer Integration mit der Komponente Kaspersky Endpoint Detection and Response (KATA) und der Lösung Kaspersky Endpoint Detection and Response Optimum kann Kaspersky Endpoint Security Antwort-Reaktionen ausführen, die der Bereitstellung von Sicherheitsfunktionen dienen.

Die Parameter für die Antwort-Reaktionen der Komponente Kaspersky Endpoint Detection and Response (KATA) und der Lösung Kaspersky Endpoint Detection and Response Optimum sind unterschiedlich.

Kaspersky Endpoint Security kann die folgenden Antwort-Reaktionen ausführen:

• Dateien in die Quarantäne verschieben.

  Die Aktion wird mithilfe der Aufgabe "Datei in die Quarantäne verschieben" ausgeführt (Quarantine a file).

  Bei der Integration von Kaspersky Endpoint Security mit Kaspersky Endpoint Detection and Response (KATA) wird diese Aufgabe in der Lösung Kaspersky Endpoint Detection and Response (KATA) konfiguriert.

  Bei der Integration von Kaspersky Endpoint Security mit Kaspersky Endpoint Detection and Response Optimum können Sie die Aufgabe Datei in Quarantäne verschieben sowohl in den Einstellungen der Komponente "EDR Optimum" von Kaspersky Endpoint Security als auch auf dem Gerät mit gestartetem Kaspersky Endpoint Security über die Befehle zur Verwaltung der Quarantäne konfigurieren.

• Dateien aus der Quarantäne löschen.

  Bei der Integration von Kaspersky Endpoint Security mit Kaspersky Endpoint Detection and Response (KATA) wird die Aktion in der Lösung Kaspersky Endpoint Detection and Response (KATA) ausgeführt.

  Bei der Integration von Kaspersky Endpoint Security mit Kaspersky Endpoint Detection and Response Optimum wird die Aktion sowohl in Kaspersky Security Center als auch dem Gerät mit gestartetem Kaspersky Endpoint Security über die Befehle zur Verwaltung der Quarantäne ausgeführt.

• Dateien aus der Quarantäne wiederherstellen.

  Bei der Integration von Kaspersky Endpoint Security mit Kaspersky Endpoint Detection and Response (KATA) wird die Aktion in der Lösung Kaspersky Endpoint Detection and Response (KATA) ausgeführt.

  Bei der Integration von Kaspersky Endpoint Security mit Kaspersky Endpoint Detection and Response Optimum wird die Aktion sowohl in Kaspersky Security Center als auch dem Gerät mit gestartetem Kaspersky Endpoint Security über die Befehle zur Verwaltung der Quarantäne ausgeführt.

• Dateien aus der Quarantäne abrufen.

  Bei der Integration von Kaspersky Endpoint Security mit Kaspersky Endpoint Detection and Response (KATA) wird die Aktion in der Lösung Kaspersky Endpoint Detection and Response (KATA) ausgeführt.

  Bei der Integration von Kaspersky Endpoint Security mit Kaspersky Endpoint Detection and Response Optimum wird die Aktion in Kaspersky Security Center ausgeführt.

• Dateien vom Gerät abrufen.

  Die Aktion wird mithilfe der Aufgabe "Datei von Gerät abrufen" ausgeführt (Get file). Beispielsweise können Sie das Abrufen einer Ereignisprotokoll-Datei konfigurieren, die von der Anwendung eines Drittanbieters generiert wird.

  Bei der Integration von Kaspersky Endpoint Security mit Kaspersky Endpoint Detection and Response (KATA) wird die Aktion in der Lösung Kaspersky Endpoint Detection and Response (KATA) ausgeführt.

  Bei der Integration von Kaspersky Endpoint Security mit Kaspersky Endpoint Detection and Response Optimum können Sie die Aufgabe Datei von Gerät abrufen in den Einstellungen der EDR-Komponente von Kaspersky Endpoint Security konfigurieren.

• Dateien von Geräten löschen.

  Die Aktion wird mithilfe der Aufgabe "Datei von Gerät löschen" ausgeführt (Delete file).

  Bei der Integration von Kaspersky Endpoint Security mit Kaspersky Endpoint Detection and Response (KATA) wird die Aktion in der Lösung Kaspersky Endpoint Detection and Response (KATA) ausgeführt.

  Bei der Integration von Kaspersky Endpoint Security mit Kaspersky Endpoint Detection and Response Optimum können Sie die Aufgabe Datei von Gerät löschen in den Einstellungen der EDR-Komponente von Kaspersky Endpoint Security konfigurieren.

• Prozesse auf Geräten remote starten.

  Die Aktion wird mithilfe der Aufgabe "Prozess starten" ausgeführt (Run process). Sie können beispielsweise per Fernzugriff ein Tool starten, das eine Gerätekonfigurationsdatei erstellt, und diese Datei anschließend mittels der Aufgabe Datei von Gerät abrufen.

  Bei der Integration von Kaspersky Endpoint Security mit Kaspersky Endpoint Detection and Response (KATA) wird die Aktion in der Lösung Kaspersky Endpoint Detection and Response (KATA) ausgeführt.

  Bei der Integration von Kaspersky Endpoint Security mit Kaspersky Endpoint Detection and Response Optimum können Sie die Aufgabe Prozess starten in den Einstellungen der EDR-Komponente von Kaspersky Endpoint Security konfigurieren.

• Prozesse auf Geräten remote beenden.

  Die Aktion wird mithilfe der Aufgabe "Prozess beenden" ausgeführt (Terminate process). Sie können beispielsweise remote ein Tool zur Messung der Internet-Geschwindigkeitstest beenden, welches vorher mit der Aufgabe "Prozess starten" gestartet wurde.

  Bei der Integration von Kaspersky Endpoint Security mit Kaspersky Endpoint Detection and Response (KATA) wird die Aktion in der Lösung Kaspersky Endpoint Detection and Response (KATA) ausgeführt.

  Bei der Integration von Kaspersky Endpoint Security mit Kaspersky Endpoint Detection and Response Optimum können Sie die Aufgabe Prozess beenden in den Einstellungen der EDR-Komponente von Kaspersky Endpoint Security konfigurieren.

• Anzeichen einer Kompromittierung von Geräten erkennen und mit einer Reaktion auf die Bedrohung reagieren.

  Ein Kompromittierungsindikator (Indicator of Compromise, IOC) bezeichnet eine Menge von Informationen über ein Objekt oder eine Aktivität, die auf einen unbefugten Zugriff auf ein Gerät hinweist (Kompromittierung der Daten). So kann beispielsweise eine hohe Anzahl an fehlgeschlagenen Anmeldeversuchen ein Indikator für eine Kompromittierung kann sein.

  Bei der Integration von Kaspersky Endpoint Security mit Kaspersky Endpoint Detection and Response (KATA) wird die IOC-Untersuchung in der Lösung Kaspersky Endpoint Detection and Response (KATA) ausgeführt.

  Bei einer Integration von Kaspersky Endpoint Security mit Kaspersky Endpoint Detection and Response Optimum wird die Aktion mithilfe der Aufgabe zur IOC-Untersuchung durchgeführt (IOC Scan). Konfigurieren können Sie die Aufgabe IOC-Untersuchung sowohl in den Einstellungen der Komponente "EDR Optimum" von Kaspersky Endpoint Security als auch auf einem Gerät mit Kaspersky Endpoint Security, indem Sie die Befehle zur Verwaltung der IOC-Untersuchung verwenden.

• Die Netzwerkisolation des Geräts aktivieren oder deaktivieren.

  Bei der Integration von Kaspersky Endpoint Security mit Kaspersky Endpoint Detection and Response (KATA) können Sie Folgendes tun:

  • Die Netzwerkisolation über die Befehlszeile deaktivieren.
  • Die Netzwerkisolation über Kaspersky Endpoint Detection and Response (KATA) aktivieren oder deaktivieren.

  Bei der Integration von Kaspersky Endpoint Security mit Kaspersky Endpoint Detection and Response Optimum können Sie Folgendes tun:

  • Die Netzwerkisolation in der Web Console aktivieren oder deaktivieren.
  • Die Netzwerkisolation über die Befehlszeile deaktivieren
  • Das automatische Deaktivieren der Netzwerkisolation in der Web Console konfigurieren.
• Regeln der Ausführungsprävention für Objekte konfigurieren.

  Bei der Integration von Kaspersky Endpoint Security mit Kaspersky Endpoint Detection and Response (KATA) können Sie Folgendes tun:

  • Anwendung von Regeln der Ausführungsprävention für Objekte über die Befehlszeile starten und beenden
  • in der Befehlszeile eine Liste mit Regeln der Ausführungsprävention für Objekte anzeigen, die von der Komponente Kaspersky Endpoint Detection and Response (KATA) empfangen werden

  Bei der Integration von Kaspersky Endpoint Security mit Kaspersky Endpoint Detection and Response Optimum können Sie Folgendes tun:

  • Regeln der Ausführungsprävention für Objekte in der Web Console erstellen und konfigurieren.
  • Die Anwendung von Regeln der Ausführungsprävention für Objekte in der Web Console oder über die Befehlszeile starten und beenden.
  • In der Befehlszeile eine Liste mit Regeln der Ausführungsprävention für Objekte anzeigen, die von Kaspersky Endpoint Detection and Response Optimum empfangen wurden.

Nach oben