Endpoint Detection and Response

для Windows, macOS и Linux

В Kaspersky Endpoint Security включен встроенный агент для работы решения Kaspersky Endpoint Detection and Response Optimum (далее также "EDR Optimum"). Kaspersky Endpoint Detection and Response – решения, предназначенные для защиты IT-инфраструктуры организации от сложных кибернетических угроз. Функционал решений сочетает автоматическое обнаружение угроз с возможностью реагирования на эти угрозы для противодействия сложным атакам, в том числе новым эксплойтам (exploits), программам-вымогателям (ransomware), бесфайловым атакам (fileless attacks), а также методам, использующим легитимные системные инструменты.

Kaspersky Endpoint Detection and Response анализирует потенциально опасные действия на устройствах пользователей и предоставляет Специалистам по безопасности или Администратору информацию о возможной атаке для принятия своевременных действий по реагированию или автоматически применяет заданные вами действия по реагированию.

Для работы Endpoint Detection and Response должны быть включены следующие компоненты:

Защита от файловых угроз
Защита от веб-угроз
Защита от почтовых угроз
Защита от эксплойтов
Анализ поведения
Предотвращение вторжений
Откат вредоносных действий
Адаптивный контроль аномалий

Список компонентов может отличаться для разных платформ.

Настройки компонента Endpoint Detection and Response

Настройка	ОС	Описание
Включить расширенное логирование активности в системе	`Windows` `macOS` `Linux`	Настройка обеспечивает корректность задачи Ретроспективный поиск IOC. Использует значительные ресурсы компьютера.
Сетевая изоляция	`Windows` `macOS` `Linux`	Автоматическая изоляция компьютера от сети в результате реагирования на обнаруженные угрозы. После включения Сетевой изоляции приложение разрывает все активные соединения и блокирует все новые соединения TCP/IP на компьютере. Приложение оставляет активными только следующие соединения: соединения, указанные в исключениях из Сетевой изоляции; соединения, инициированные службами Kaspersky Endpoint Security; соединения, инициированные Агентом администрирования Kaspersky Security Center.
Разблокировать автоматически изолированное устройство через (часы)	`Windows` `macOS` `Linux`	Сетевая изоляция может быть выключена автоматически по истечении заданного периода времени или вручную.
Исключения из сетевой изоляции	`Windows` `macOS` `Linux`	Список правил исключений из Сетевой изоляции. Сетевые соединения, подпадающие под заданные правила, не будут заблокированы на компьютерах после включения Сетевой изоляции. Для настройки исключений из Сетевой изоляции в приложении доступен список стандартных сетевых профилей. По умолчанию в исключения входят сетевые профили, состоящие из правил, обеспечивающих бесперебойную работу устройств с ролями DNS/DHCP-сервер и DNS/DHCP-клиент. Также вы можете изменить параметры стандартных сетевых профилей или задать исключения вручную. Исключения, заданные в свойствах политики, применяются, только если Сетевая изоляция включена приложением автоматически, в результате реагирования на обнаружение угрозы. Исключения, заданные в свойствах компьютера, применяются, только если Сетевая изоляция включена вручную в свойствах компьютера в консоли Kaspersky Security Center или в деталях алерта.
Запрет запуска объектов	`Windows` `macOS` `Linux`	Контроль запуска исполняемых файлов и скриптов, а также открытия файлов офисного формата. Например, вы можете запретить запуск приложений, использование которых считается небезопасным, на выбранном компьютере. Запрет запуска объектов поддерживает определенный набор расширений файлов офисного формата и определенный набор интерпретаторов скриптов. Для работы Запрета запуска объектов вам нужно добавить правила запрета запуска объектов.
Действие при запуске или открытии объекта	`Windows` `macOS` `Linux`	Заблокировать и записать в журнал событий. В этом режиме приложение блокирует запуск объектов или открытие документов, соответствующих критериям правил запрета. Также приложение публикует в журнал событий и Kaspersky Security Center событие о попытках запуска объектов или открытия документов. Записать в журнал событий. В этом режиме Kaspersky Endpoint Security публикует в Журнал событий и Kaspersky Security Center событие о попытках запуска исполняемых объектов или открытия документов, соответствующих критериям правил запрета, но не блокирует их запуск или открытие. Этот режим выбран по умолчанию.
Правила запрета запуска	`Windows` `macOS` `Linux`	Правило запрета запуска – это набор критериев, которые приложение учитывает при реагировании на запуск объекта, например, при блокировании запуска объекта. Приложение идентифицирует файлы по их пути или контрольной сумме с помощью алгоритмов хеширования MD5 и SHA256.
Учитывать регистр при вводе пути	`Linux`	Если флажок установлен, приложение будет учитывать регистр при создании правил запрета запуска.
Cloud Sandbox	`Windows` `macOS` `Linux`	Cloud Sandbox – технология, которая позволяет обнаруживать сложные угрозы на компьютере. Kaspersky Endpoint Security автоматически отправляет обнаруженные файлы в Cloud Sandbox для анализа. Cloud Sandbox запускает эти файлы в изолированной среде для выявления вредоносной активности и принимает решение о репутации этих файлов. Далее данные об этих файлах попадают в Kaspersky Security Network. Таким образом, если Cloud Sandbox обнаружил вредоносный файл, Kaspersky Endpoint Security выполнит действие для устранения угрозы на всех компьютерах, на которых обнаружит этот файл. Для получения информации об анализируемых объектах требуется подключение к KSN.

В начало