Endpoint Detection and Response

Kaspersky Endpoint Security 11.7.0 posiada teraz wbudowanego agenta dla rozwiązania Kaspersky Endpoint Detection and Response Optimum (zwane dalej „EDR Optimum”). Kaspersky Endpoint Detection and Response Optimum to rozwiązanie do ochrony infrastruktury IT organizacji przed zaawansowanymi cyberzagrożeniami. Funkcjonalność rozwiązania łączy automatyczne wykrywanie zagrożeń z możliwością reagowania na te zagrożenia w celu przeciwdziałania zaawansowanym atakom, w tym nowym exploitom, oprogramowaniu ransomware, atakom bezplikowym, a także metodom z użyciem legalnych narzędzi systemowych. Więcej informacji o rozwiązaniu znajdziesz w pomocy dla Kaspersky Endpoint Detection and Response Optimum.

Kaspersky Endpoint Detection and Response Optimum przegląda i analizuje rozwój zagrożeń i zapewnia personel ds. bezpieczeństwa lub Administratora z informacjami o potencjalnym ataku, które są niezbędne do reagowania w odpowiednim momencie. Kaspersky Endpoint Detection and Response wyświetla szczegóły wykrycia w oddzielnym oknie. Szczegóły wykrycia to narzędzie do przeglądania całości zebranych informacji o wykrytym zagrożeniu i zarządzaniu działaniami odpowiedzi. Szczegóły wykrycia obejmują, na przykład, historię plików pojawiających się na komputerze. Więcej informacji o zarządzaniu szczegółami wykrycia można znaleźć w pomocy do Kaspersky Endpoint Detection and Response Optimum.

Komponent może być zarządzany tylko przy użyciu konsoli Kaspersky Security Center Web Console. Nie możesz zarządzać tym komponentem przy użyciu Konsoli administracyjnej (MMC).

Ustawienia Endpoint Detection and Response Optimum

Parametr

Opis

Izolacja sieci

Automatyczna izolacja komputera od sieci w odpowiedzi na wykryte zagrożenia.

Jeśli izolacja sieci jest włączona, aplikacja zrywa wszystkie aktywne połączenia i blokuje wszystkie nowe połączenia TCP/IP na komputerze. Aplikacja pozostawia aktywne tylko następujące połączenia:

  • Połączenia znajdujące się w wykluczeniach Izolacji sieci.
  • Połączenia zainicjowane przez usługi Kaspersky Endpoint Security.
  • Połączenia zainicjowane przez agenta administracji Kaspersky Security Center.

Automatycznie odblokuj izolowany komputer w ciągu N godzin

Izolacja sieci może zostać wyłączona automatycznie po określonym czasie lub ręcznie. Domyślnie, Kaspersky Endpoint Security wyłączy Izolację sieci 5 godzin od rozpoczęcia izolacji.

Wykluczenia Izolacji sieci

Lista reguł dla wykluczeń z izolacji sieci. Połączenia sieciowe, które odpowiadają regułom, nie są blokowane na komputerach, gdy Izolacja sieci jest włączona.

Aby skonfigurować wykluczenia izolacji sieci, możesz użyć listy standardowych profili sieciowych. Domyślnie, wykluczenia obejmują profile sieciowe zawierające reguły, które zapewniają nieprzerwane działanie urządzeń z rolami serwera DNS/DHCP i klienta DNS/DHCP. Możesz także ręcznie zmodyfikować ustawienia standardowych profili sieciowych lub zdefiniować wykluczenia.

Wykluczenia określone we właściwościach zasady są stosowane tylko wtedy, gdy Izolacja sieci zostaje włączona automatycznie w odpowiedzi na wykryte zagrożenie. Wykluczenia określone we właściwościach komputera są stosowane tylko wtedy, gdy Izolacja sieci zostanie włączona ręcznie we właściwościach komputera w konsoli Kaspersky Security Center.

Zapobieganie wykonywaniu

Kontrola wykonania plików wykonywalnych i skryptów oraz otwarcia plików formatów office. Na przykład, możesz zapobiec wykonaniu aplikacji, które są uznawane za niezabezpieczone na wybranym komputerze. Zapobieganie wykonywaniu obsługuje zestaw rozszerzeń plików pakietu office oraz zestaw interpreterów skryptu.

Akcja podczas wykonywania lub otwierania zabronionego obiektu

Blokuj i zapisz do raportu. W tym trybie aplikacja blokuje wykonanie obiektów lub otwieranie dokumentów, które odpowiadają kryteriom reguły blokowania. Aplikacja publikuje także zdarzenie dotyczące prób wykonania obiektów lub otwarcia dokumentów w Dzienniku zdarzeń Windows oraz dzienniku zdarzeń Kaspersky Security Center.

Tylko zapisuj zdarzenia. W tym trybie Kaspersky Endpoint Security publikuje zdarzenie dotyczące prób uruchomienia obiektów wykonywalnych lub otwarcia dokumentów, które odpowiadają kryteriom reguły blokowania, w Dzienniku zdarzeń Windows oraz w Kaspersky Security Center, ale nie blokują próby uruchomienia lub otwarcia obiektu lub dokumentu. Ten tryb jest wybrany domyślnie.

Reguły zapobiegania wykonywaniu

Lista reguł zapobiegania wykonywaniu obiektu. Reguły zapobiegania wykonywaniu to zestaw kryteriów, które są uznawane podczas blokowania. Aplikacja identyfikuje pliki według ich ścieżek lub sum kontrolnych wyliczonych przy użyciu algorytmów haszowania MD5 i SHA256.

Przejdź do góry