Интеграция с Kaspersky Endpoint Detection and Response Optimum

Kaspersky Endpoint Detection and Response Optimum – решение, предназначенное для защиты IT-инфраструктуры организации от таких угроз, как эксплойты (англ. exploits), программы-вымогатели (англ. ransomware), бесфайловые атаки (англ. fileless attacks) и использование злоумышленниками законных системных инструментов для нанесения вреда устройствам или данным.

Kaspersky Endpoint Detection and Response Optimum выполняет мониторинг и анализ развития угрозы, а также предоставляет сотруднику службы безопасности или администратору информацию о потенциальной атаке, необходимую для принятия своевременных действий по реагированию.

Интеграцию приложения Kaspersky Endpoint Security с решением Kaspersky Endpoint Detection and Response Optimum обеспечивает компонент приложения Kaspersky Endpoint Security – Endpoint Detection and Response Optimum (далее также EDR Optimum).

Приложение Kaspersky Endpoint Security 12.2 для Linux совместимо с решением Kaspersky Endpoint Detection and Response Optimum версии 3.1.

Kaspersky Endpoint Detection and Response Optimum использует следующие средства анализа угроз (Threat Intelligence):

• Инфраструктура облачных служб Kaspersky Security Network (далее также KSN), предоставляющая доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-сайтов и программного обеспечения.
• Интеграция с порталом Kaspersky Threat Intelligence Portal, который содержит и отображает информацию о репутации файлов и веб-сайтов.
• База угроз "Лаборатории Касперского" Kaspersky Threats.

При взаимодействии с Kaspersky Endpoint Detection and Response Optimum приложение Kaspersky Endpoint Security может выполнять следующие функции:

• Отправлять в Kaspersky Security Center данные о событиях на устройствах. Приложение Kaspersky Endpoint Security передает в Kaspersky Security Center данные наблюдения за процессами, открытыми сетевыми соединениями и изменяемыми файлами, а также данные об угрозах, обнаруженных приложением, и данные о результатах обработки этих угроз.
• Выполнять ответные действия, направленные на обеспечение функций безопасности, по командам, полученным от Kaspersky Security Center.

Интеграция с Kaspersky Endpoint Detection and Response Optimum состоит из следующих этапов:

1. Включение необходимых компонентов Kaspersky Endpoint Security

   Убедитесь, что включены и работают следующие компоненты приложения Kaspersky Endpoint Security:

   • Защита от файловых угроз.
   • Защита от веб-угроз.
   • Анализ поведения.
2. Включение средств анализа угроз

   Убедитесь, что включен Kaspersky Security Network в стандартном или расширенном режиме.

   Для наиболее эффективной работы Kaspersky Endpoint Detection and Response Optimum рекомендуется использовать Kaspersky Security Network в расширенном режиме.

3. Активация компонента EDR Optimum

   Убедитесь, что соблюдено одно из следующих условий:

   • Вы используете приложение Kaspersky Endpoint Security по лицензии, которая включает в себя функциональность Kaspersky Endpoint Detection and Response Optimum.
   • Вы приобрели отдельную лицензию на использование функциональности Kaspersky Endpoint Detection and Response Optimum и добавили в приложение лицензионный ключ для дополнительной функциональности (ключ EDR Optimum).
4. Установка плагина управления Kaspersky Endpoint Detection and Response Optimum

   Плагин управления Kaspersky Endpoint Detection and Response Optimum является единым плагином для работы с агентами на операционных системах Windows, Mac и Linux и требуется для отображения и просмотра деталей алертов.

5. Включение интеграции с решением Kaspersky Endpoint Detection and Response Optimum

   По умолчанию интеграция Kaspersky Endpoint Security с Kaspersky Endpoint Detection and Response Optimum выключена. Вы можете включать и выключать интеграцию, а также настраивать параметры интеграции:

   • с помощью Web Console;
   • с помощью командной строки.

     Управление компонентом EDR Optimum с помощью Консоли администрирования Kaspersky Security Center не поддерживается.

   Вы можете проверить статус работы компонента EDR Optimum:

   • C помощью Отчета о статусе компонентов приложения в Web Console.

     В список компонентов Kaspersky Endpoint Security добавлен компонент Endpoint Detection and Response Optimum. Подробную информацию о работе с отчетами см. в справке Kaspersky Security Center.

   • В свойствах устройства в Web Console.
   • С помощью командной строки.
6. Включение передачи данных на Сервер администрирования

   Для использования всех возможностей Kaspersky Endpoint Detection and Response Optimum вам нужно настроить следующие параметры:

   • Включить отправку в хранилище Kaspersky Security Center информации о файлах в резервном хранилище и на карантине. Для этого вам нужно в свойствах политики установить флажки:
     • Информировать о файлах резервного хранилища.
     • Информировать о файлах карантина.
   • Разрешить отображение списка алертов. Для этого вам нужно включить переключатель Показать EDR-алерты в главном окне Web Console в разделе Параметры → Параметры интерфейса.

     Параметр Показать EDR-алерты отсутствует в Web Console версии ниже 15.1.

В этом разделе Включение и выключение интеграции с Kaspersky Endpoint Detection and Response Optimum Просмотр статуса интеграции с Kaspersky Endpoint Detection and Response Optimum Просмотр информации об обнаруженной угрозе и действиях по реагированию Поиск индикаторов компрометации Запуск процесса Завершение процесса Получение файла с устройства Удаление файла с устройства Помещение файла на карантин

В начало