Detection and Response

Kaspersky Endpoint Agent

Kaspersky Endpoint Agent обеспечивает взаимодействие программы с другими решениями "Лаборатории Касперского" для обнаружения сложных угроз (например, Kaspersky Sandbox). Решения "Лаборатории Касперского", которые поддерживает Kaspersky Endpoint Agent, зависят от версии Kaspersky Endpoint Agent.

Полную информацию о Kaspersky Endpoint Agent для Windows в составе программного решения, которое вы используете, а также полную информацию о самом решении смотрите в справке соответствующего решения:

• в Справке Kaspersky Anti Targeted Attack Platform;
• в Справке Kaspersky Sandbox;
• в Справке Kaspersky Endpoint Detection and Response Optimum;
• в Справке Kaspersky Managed Detection and Response.

Kaspersky Endpoint Agent входит в комплект поставки Kaspersky Endpoint Security. Вы можете установить Kaspersky Endpoint Agent при установке Kaspersky Endpoint Security. Для этого вам нужно выбрать компонент Endpoint Agent при установке программы (например, в инсталляционном пакете). После установки программы с компонентом Endpoint Agent в список установленных программ будут добавлены Kaspersky Endpoint Security и Kaspersky Endpoint Agent. После удаления Kaspersky Endpoint Security, программа Kaspersky Endpoint Agent также будет удалена автоматически.

В Kaspersky Endpoint Security 11.7.0 добавлен мастер миграции с Kaspersky Endpoint Agent на Kaspersky Endpoint Security. Вы можете перенести параметры политик и задач для следующих решений:

• Kaspersky Sandbox;
• Kaspersky Endpoint Detection and Response (EDR);
• Kaspersky Managed Detection and Response (MDR).

Рекомендуем сначала выполнить миграцию с Kaspersky Endpoint Agent на Kaspersky Endpoint Security на одном компьютере, затем на группе компьютеров и далее выполнить миграцию на всех компьютерах организации.

Чтобы перенести параметры политик и задач с Kaspersky Endpoint Agent на Kaspersky Endpoint Security, выполните следующие действия:

В главном окне Web Console выберите Операции → Миграция с Kaspersky Endpoint Agent.

В результате запустится мастер миграции политик и задач. Следуйте его указаниям.

Шаг 1. Миграция политик

Мастер миграции создает новую политику, в которой будут объединены параметры политик Kaspersky Endpoint Security и Kaspersky Endpoint Agent. В списке политик выберите политики Kaspersky Endpoint Agent, параметры которых вы хотите объединить с политикой Kaspersky Endpoint Security. Нажмите на политику Kaspersky Endpoint Agent, чтобы выбрать политику Kaspersky Endpoint Security, с которой вы хотите объединить параметры. Убедитесь, что политики выбраны верно и перейдите к следующем шагу.

Шаг 2. Миграция задач

Мастер миграции создает новые задачи для Kaspersky Endpoint Security. В списке задач выберите задачи Kaspersky Endpoint Agent, которые вы хотите создать для Kaspersky Endpoint Security. Мастер поддерживает задачи для решений Kaspersky Endpoint Detection and Response и Kaspersky Sandbox. Перейдите к следующему шагу.

Шаг 3. Завершение работы мастера

Завершите работу мастера. В результате работы мастера будут выполнены следующие действия:

• Создана новая политика Kaspersky Endpoint Security.

  В политике объединены параметры Kaspersky Endpoint Security и Kaspersky Endpoint Agent. Политика называется <Название политики Kaspersky Endpoint Security> & <Название политики Kaspersky Endpoint Agent>. Новая политика имеет статус Неактивна. Для продолжения работы измените статусы политик Kaspersky Endpoint Agent и Kaspersky Endpoint Security на Неактивна и активируйте новую объединенную политику.

  После миграции из Kaspersky Endpoint Agent на Kaspersky Endpoint Security для Windows убедитесь, что в новой политике настроены функции передачи данных на Сервер администрирования: данные о файлах карантина и данные о цепочке развития угрозы. Значения параметров передачи данных не мигрируют из политики Kaspersky Endpoint Agent.

• Созданы новые задачи Kaspersky Endpoint Security.

  Новые задачи представляют собой копии задач Kaspersky Endpoint Agent для решений Kaspersky Endpoint Detection and Response и Kaspersky Sandbox. При этом мастер оставляет задачи Kaspersky Endpoint Agent без изменений.

Миграция конфигурации [KES+KEA] на [KES11.7.0]

В Kaspersky Endpoint Security версии 11.7.0 добавлены встроенные агенты для работы решений Kaspersky Endpoint Detection and Response Optimum 2.0 (EDR Optimum) и Kaspersky Sandbox 2.0. Теперь вам не нужна отдельная программа Kaspersky Endpoint Agent для работы этих решений. При обновлении Kaspersky Endpoint Security до версии 11.7.0 решения EDR Optimum и Kaspersky Sandbox продолжат работу с Kaspersky Endpoint Security. Также программа Kaspersky Endpoint Agent будет удалена с компьютера.

Миграция конфигурации [KES+KEA] на [KES11.7.0] состоит из следующих этапов:

1. Обновление Kaspersky Security Center

   Обновите все компоненты Kaspersky Security Center до версии 13.2, включая Агент администрирования на компьютерах пользователей и Web Console.

2. Обновление веб-плагина Kaspersky Endpoint Security

   В Kaspersky Security Center Web Console обновите веб-плагин Kaspersky Endpoint Security до версии 11.7.0. Управление компонентами EDR Optimum и Kaspersky Sandbox доступно только в Web Console.

3. Миграция политики и задач

   С помощью мастера миграции политик и задач Kaspersky Endpoint Agent перенесите параметры работы Kaspersky Endpoint Agent в программу Kaspersky Endpoint Security для Windows.

   В результате будет создана новая политика Kaspersky Endpoint Security. Новая политика имеет статус Неактивна. Для применения политики откройте свойства политики, примите условия Положения о Kaspersky Security Network и измените статус на Активна.

4. Лицензирование функций

   Если для активации Kaspersky Endpoint Security для Windows и Kaspersky Endpoint Agent у вас общая лицензия Kaspersky Endpoint Detection and Response Optimum или Kaspersky Optimum Security, после обновления программы до версии 11.7.0 активация функции EDR Optimum будет выполнена автоматически. Дополнительных действий не требуется.

   Если для активации функциональности EDR Optimum у вас отдельная лицензия Kaspersky Endpoint Detection and Response Optimum Add-on, вам нужно убедиться, что ключ EDR Optimum добавлен в хранилище Kaspersky Security Center и функция автоматического распространения лицензионного ключа включена. После обновления программы до версии 11.7.0 активация функции EDR Optimum будет выполнена автоматически.

   Если для активации Kaspersky Endpoint Agent у вас лицензия Kaspersky Endpoint Detection and Response Optimum или Kaspersky Optimum Security, а для активации Kaspersky Endpoint Security для Windows у вас другая лицензия, вам нужно заменить ключ для Kaspersky Endpoint Security для Windows на общий ключ Kaspersky Endpoint Detection and Response Optimum или Kaspersky Optimum Security. Вы можете заменить ключ с помощью задачи Добавление ключа.

   Функциональность Kaspersky Sandbox активировать не требуется. Функциональность Kaspersky Sandbox будет доступна сразу после обновления и активации Kaspersky Endpoint Security для Windows.

5. Обновление программы Kaspersky Endpoint Security

   Для обновления программы с миграцией функций EDR Optimum и Kaspersky Sandbox рекомендуется использовать задачу удаленной установки.

   Для обновления программы с помощью задачи удаленной установки вам нужно выполнить следующие настройки:

   • Выберите компоненты Endpoint Detection and Response Optimum или Kaspersky Sandbox в параметрах инсталляционного пакета.
   • Исключите компонент Kaspersky Endpoint Agent в параметрах инсталляционного пакета.

   Также вы можете обновить программу следующими способами:

   • Через службу обновлений "Лаборатории Касперского" (Seamless Update – SMU).
   • Локально с помощью мастера установки.

   В этом случае вам нужно проверить конфигурацию программы Kaspersky Endpoint Agent, которая установлена на компьютере. Если в составе Kaspersky Endpoint Agent установлен компонент Endpoint Detection and Response Expert (KATA EDR), удалите компонент перед обновлением программы. Если удалить компонент Endpoint Detection and Response Expert (KATA EDR) невозможно, Kaspersky Endpoint Security исключит компоненты EDR Optimum и Kaspersky Sandbox при обновлении программы. Вы можете установить компоненты с помощью задачи Изменение состава компонентов программы после обновления программы.

6. Перезагрузка компьютера

   Для завершения обновления приложения со встроенным агентом перезагрузите компьютер. При обновлении приложения установщик удаляет Kaspersky Endpoint Agent до перезагрузки компьютера. После перезагрузки компьютера установщик добавляет встроенный агент. Таким образом, Kaspersky Endpoint Security не выполняет функции EDR и Kaspersky Sandbox до перезагрузки компьютера.

7. Проверка работы Kaspersky Endpoint Detection and Response Optimum и Kaspersky Sandbox

   Если после обновления программы компьютер имеет статус Критический в консоли Kaspersky Security Center, выполните следующие действия:

   • Убедитесь, что на компьютере установлен Агент администрирования версии 13.2.
   • Проверьте статус работы компонентов EDR Optimum и Kaspersky Sandbox с помощью отчета Отчет о статусе компонентов программы. Если компонент имеет статус Не установлен, установите компоненты с помощью задачи Изменение состава компонентов программы.
   • Убедитесь, что вы приняли условия Положения о Kaspersky Security Network в новой политике Kaspersky Endpoint Security для Windows.

   Убедитесь в том, что функция EDR Optimum активирована с помощью отчета Отчет о статусе компонентов программы. Если компонент имеет статус Не поддерживается лицензией, убедитесь, что функция автоматического распространения лицензионного ключа EDR Optimum включена.

Обновление программы в составе KATA EDR

Если у вас установлена программа Kaspersky Endpoint Agent для интеграции с Kaspersky Anti Targeted Attack Platform (компонент Endpoint Detection and Response Expert (KATA EDR)), вы можете обновить Kaspersky Endpoint Security для Windows любым способом:

• С помощью задачи удаленной установки.

  Для этого вам нужно выполнить следующие настройки:

  • Исключите компоненты Endpoint Detection and Response Optimum и Kaspersky Sandbox в параметрах инсталляционного пакета.
  • Выберите компонент Kaspersky Endpoint Agent в параметрах инсталляционного пакета. Если на компьютере уже установлен Kaspersky Endpoint Agent, программа будет обновлена до версии 3.11.
• Через службу обновлений "Лаборатории Касперского" (SMU).

  Для этого вам нужно подтвердить обновление программы. Kaspersky Endpoint Security исключает компоненты Endpoint Detection and Response Optimum и Kaspersky Sandbox из установки. Обновление версии Kaspersky Endpoint Agent не поддерживается. Вы можете обновить Kaspersky Endpoint Agent вручную.

• Локально с помощью мастера установки.

  Kaspersky Endpoint Security исключает компоненты Endpoint Detection and Response Optimum и Kaspersky Sandbox из установки. Если на компьютере уже установлен Kaspersky Endpoint Agent, программа будет обновлена до версии 3.11.

Managed Detection and Response

При взаимодействии с Kaspersky Managed Detection and Response программа позволяет выполнять следующие функции:

• Активация Managed Detection and Response с помощью конфигурационного файла BLOB.
• Выполнение команд от Kaspersky Managed Detection and Response.
• Отправка данных телеметрии для обнаружения угроз в Kaspersky Managed Detection and Response.

Интеграция с Kaspersky Managed Detection and Response

Интеграция с Kaspersky Managed Detection and Response состоит из следующих этапов:

1. Настройка Локального Kaspersky Security Network

   Если вы используете Kaspersky Security Center Cloud Console, этот шаг нужно пропустить. Kaspersky Security Center Cloud Console автоматически настраивает Локальный Kaspersky Security Network при установке плагина MDR.

   Локальный KSN обеспечивает обмен данными между компьютерами и выделенными серверами Kaspersky Security Network, а не Глобальным KSN.

   Загрузите конфигурационный файл Kaspersky Security Network в свойствах Сервера администрирования. Конфигурационный файл Kaspersky Security Network находится в ZIP-архиве конфигурационного файла MDR. Вы можете получить ZIP-архив в Консоли Kaspersky Managed Detection and Response. Подробнее о настройке Локального Kaspersky Security Network см. в справке Kaspersky Security Center. Также вы можете загрузить конфигурационный файл Kaspersky Security Network на компьютер из командной строки (см. инструкцию ниже).

   Как настроить Локальный Kaspersky Security Network из командной строки

   1. Запустите интерпретатор командной строки cmd от имени администратора.
   2. Перейдите в папку, в которой расположен дистрибутив Kaspersky Endpoint Security.
   3. Выполните команду:

      avp.com KSN /private <имя файла>

      где <имя файла> – имя конфигурационного файла с параметрами Локального KSN (формат файла PKCS7 или PEM).

      Пример: avp.com KSN /private C:\kpsn_config.pkcs7

   В результате Kaspersky Endpoint Security будет использовать Локальный KSN для определения репутации файлов, программ и веб-сайтов. В параметрах политики в разделе Kaspersky Security Network будет указан статус работы Сеть KSN: Локальный KSN.

   Для работы Managed Detection and Response необходимо включить расширенный режим KSN.

2. Активация Managed Detection and Response

   Загрузите конфигурационный файл BLOB в политике Kaspersky Endpoint Security (см. инструкцию ниже). BLOB-файл содержит идентификатор клиента и информацию о лицензии Kaspersky Managed Detection and Response. BLOB-файл находится в ZIP-архиве конфигурационного файла MDR. Вы можете получить ZIP-архив в Консоли Kaspersky Managed Detection and Response. Подробную информацию о BLOB-файле см. в справке Kaspersky Managed Detection and Response.

   Как активировать Managed Detection and Response в Консоли администрирования (MMC)

   1. Откройте Консоль администрирования Kaspersky Security Center.
   2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
   3. В рабочей области выберите закладку Политики.
   4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
   5. В окне политики выберите Detection and Response → Managed Detection and Response.
   6. Установите флажок Managed Detection and Response.
   7. В блоке Настройка нажмите на кнопку Импорт и выберите BLOB-файл, полученный в Консоли Kaspersky Managed Detection and Response. Файл имеет расширение P7.
   8. Сохраните внесенные изменения.

   Как активировать Managed Detection and Response в Web Console и Cloud Console

   1. В главном окне Web Console выберите Устройства → Политики и профили политик.
   2. Нажмите на название политики Kaspersky Endpoint Security.

      Откроется окно свойств политики.

   3. Выберите закладку Параметры программы.
   4. Перейдите в раздел Detection and Response → Managed Detection and Response.
   5. Включите переключатель Managed Detection and Response.
   6. Нажмите на кнопку Импорт и выберите BLOB-файл, полученный в Консоли Kaspersky Managed Detection and Response. Файл имеет расширение P7.
   7. Сохраните внесенные изменения.

   Как активировать Managed Detection and Response из командной строки

   1. Запустите интерпретатор командной строки cmd от имени администратора.
   2. Перейдите в папку, в которой расположен дистрибутив Kaspersky Endpoint Security.
   3. Выполните команду:
      • Если настройка параметров программы не защищена паролем:

        avp.com MDRLICENSE /ADD <имя файла>

        где <имя файла> – имя конфигурационного файла BLOB для активации Managed Detection and Response (формат файла P7).

      • Если настройка параметров программы защищена паролем:

        avp.com MDRLICENSE /ADD <имя файла> /login=<имя пользователя> /password=<пароль>

   В результате Kaspersky Endpoint Security проверит BLOB-файл. Проверка BLOB-файла включает в себя проверку цифровой подписи и срока действия лицензии. Если BLOB-файл прошел проверку, Kaspersky Endpoint Security загрузит файл и отправит файл на компьютер при следующей синхронизации с Kaspersky Security Center. Проверьте статус работы компонента с помощью отчета Отчет о статусе компонентов программы. Также вы можете посмотреть статус работы компонента в локальном интерфейсе Kaspersky Endpoint Security в отчетах. В список компонентов Kaspersky Endpoint Security будет добавлен компонент Managed Detection and Response.

3. Обеспечение работы Managed Detection and Response

   Для работы Managed Detection and Response должны быть включены следующие компоненты:

   • Kaspersky Security Network (расширенный режим).
   • Анализ поведения.

   Эти компоненты должны быть включены обязательно. В противном случае Kaspersky Managed Detection and Response не работает, так как не получает необходимые данные телеметрии.

   Дополнительно Kaspersky Managed Detection and Response использует данные полученные от других компонентов программы. Включение этих компонентов не является обязательным. К компонентам, которые предоставляют дополнительные данные, относятся следующие компоненты:

   • Защита от веб-угроз.
   • Защита от почтовых угроз.
   • Сетевой экран.

   Также для работы Kaspersky Managed Detection and Response c Сервером администрирования через Kaspersky Security Center Web Console вам нужно установить новое безопасное соединение – фоновое соединение. Kaspersky Managed Detection and Response предлагает установить фоновое соединение при развертывании решения. Убедитесь, что фоновое соединение установлено. Подробнее об интеграции Kaspersky Security Center с другими решениями "Лаборатории Касперского" см. в справке Kaspersky Security Center.

Миграция из Kaspersky Endpoint Agent на Kaspersky Endpoint Security для Windows

Программа Kaspersky Endpoint Security версии 11 или выше поддерживает работу с решением MDR. Kaspersky Endpoint Security версий 11 – 11.5.0 только отправляет данные телеметрии для обнаружения угроз в Kaspersky Managed Detection and Response. Kaspersky Endpoint Security версии 11.6.0 выполняет все функции встроенного агента (Kaspersky Endpoint Agent).

Если вы используете Kaspersky Endpoint Security 11 – 11.5.0, для работы с решением MDR нужно обновить базы до актуальной версии. Также требуется установить Kaspersky Endpoint Agent.

Если вы используете Kaspersky Endpoint Security 11.6.0 или выше, для работы с решением MDR нужно выбрать компонент Managed Detection and Response при установке программы. Устанавливать Kaspersky Endpoint Agent при этом не требуется.

Для миграции из Kaspersky Endpoint Agent на Kaspersky Endpoint Security для Windows вам нужно выполнить следующие действия:

1. Настройте интеграцию с Kaspersky Managed Detection and Response в политике Kaspersky Endpoint Security.
2. Выключите компонент Managed Detection and Response в политике Kaspersky Endpoint Agent.

Если политика Kaspersky Endpoint Security также применяется к компьютерам, на которых установлена программа Kaspersky Endpoint Security 11 – 11.5.0, необходимо сначала создать отдельную политику Kaspersky Endpoint Agent для этих компьютеров. В новой политике необходимо настроить интеграцию с Kaspersky Managed Detection and Response.

Endpoint Detection and Response

Решение использует следующие средства анализа угроз (Threat Intelligence):

• Инфраструктура облачных служб Kaspersky Security Network (далее также "KSN"), предоставляющую доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции программ "Лаборатории Касперского" на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний.
• Интеграция с программой "Лаборатории Касперского" Kaspersky Private Security Network (далее также "KPSN"), предоставляющую пользователю возможность получать доступ к репутационным базам KSN, а также другим статистическим данным, не отправляя данные в KSN со своих компьютеров.
• Интеграция с информационной системой "Лаборатории Касперского" Kaspersky Threat Intelligence Portal, которая содержит и отображает информацию о репутации файлов и URL-адресов.
• База угроз "Лаборатории Касперского" Kaspersky Threats.

Для работы решения Kaspersky Endpoint Detection and Response Optimum требуется Kaspersky Security Center версии 13.2. В более ранних версиях Kaspersky Security Center невозможно активировать функциональность EDR Optimum.

Управление компонентом доступно только в Web Console. Управлять компонентом в Консоли администрирования (MMC) невозможно.

Интеграция с Kaspersky Endpoint Detection and Response Optimum

Интеграция с Kaspersky Endpoint Detection and Response Optimum состоит из следующих этапов:

1. Установка компонента Endpoint Detection and Response Optimum

   Вы можете выбрать компонент Endpoint Detection and Response Optimum во время установки или обновления программы, а также с помощью задачи Изменение состава компонентов программы.

   В результате выполнения задачи Изменение состава компонентов программы некорректно отображается статус задачи. Вместо статуса Завершена успешно задача имеет статус Ожидает выполнения. При этом задача может быть выполнена успешно. Убедитесь, что новый компонент установлен в консоли Kaspersky Security Center в свойствах компьютера (Программы → Kaspersky Endpoint Security для Windows → Компоненты) или в локальном интерфейсе программы.

2. Активация Kaspersky Endpoint Detection and Response Optimum

   Вы можете приобрести лицензию на использование Kaspersky Endpoint Detection and Response Optimum следующими способами:

   • Функциональность EDR Optimum включена в состав лицензии на использование Kaspersky Endpoint Security для Windows.

     Функциональность будет доступна сразу после активации Kaspersky Endpoint Security для Windows.

   • Расширение лицензии на использование EDR Optimum.

     Функциональность будет доступна после добавления отдельного ключа Kaspersky Endpoint Detection and Response. В результате на компьютере будет установлено два ключа: ключ для Kaspersky Endpoint Security и ключ для Kaspersky Endpoint Detection and Response Optimum.

     Лицензирование отдельной функциональности EDR Optimum не отличается от лицензирования Kaspersky Endpoint Security.

   Убедитесь, что функциональность EDR Optimum включена в лицензию и работает в локальном интерфейсе программы.

3. Включение компонента Endpoint Detection and Response Optimum

   Вы можете включить или выключить компонент в настройках политики Kaspersky Endpoint Security для Windows.

   Для работы компонента должны быть выполнены следующие условия:

   • Программа активирована и функциональность Kaspersky Endpoint Detection and Response Optimum входит в лицензию.
   • Компонент Endpoint Detection and Response Optimum включен.
   • Компоненты программы, которые обеспечивают работу Endpoint Detection and Response Optimum, включены и работают. Работу компонента обеспечивают следующие компоненты:
     • Защита от файловых угроз.
     • Защита от веб-угроз.
     • Защита от почтовых угроз.
     • Защита от эксплойтов.
     • Анализ поведения.
     • Предотвращение вторжений.
     • Откат вредоносных действий.
     • Адаптивный контроль аномалий.

   Как включить или выключить компонент Endpoint Detection and Response Optimum в Web Console

   1. В главном окне Web Console выберите Устройства → Политики и профили политик.
   2. Нажмите на название политики Kaspersky Endpoint Security.

      Откроется окно свойств политики.

   3. Выберите закладку Параметры программы.
   4. Перейдите в раздел Detection and Response → Endpoint Detection and Response Optimum.
   5. Включите переключатель Endpoint Detection and Response Optimum.
   6. Сохраните внесенные изменения.

   В результате компонент Kaspersky Endpoint Detection and Response Optimum будет включен. Проверьте статус работы компонента с помощью отчета Отчет о статусе компонентов программы. Также вы можете посмотреть статус работы компонента в локальном интерфейсе Kaspersky Endpoint Security в отчетах. В список компонентов Kaspersky Endpoint Security будет добавлен компонент Endpoint Detection and Response Optimum.

4. Включение передачи данных на Сервер администрирования

   Для работы всех функций EDR Optimum должна быть включена передача следующих данных:

   • Данные о файлах карантина.

     Данные нужны для получения информации о помещенных на компьютере файлах на карантин в Web Console. В Web Console вы можете, например, загрузить файл из карантина на компьютер для анализа.

   • Данные о цепочке развития угрозы.

     Данные нужны для получения информации об обнаруженных на компьютере угрозах в Web Console. В Web Console вы можете просматривать детали обнаружения и выполнять действия по реагированию.

   Как включить передачу данных на Сервер администрирования в Web Console

   1. В главном окне Web Console выберите Устройства → Политики и профили политик.
   2. Нажмите на название политики Kaspersky Endpoint Security.

      Откроется окно свойств политики.

   3. Выберите закладку Параметры программы.
   4. Перейдите в раздел Общие настройки → Отчеты и хранилище.
   5. В блоке Передача данных на Сервер администрирования установите следующие флажки:
      • О файлах на карантине.
      • О цепочке развития угрозы.
   6. Сохраните внесенные изменения.

Миграция из Kaspersky Endpoint Agent на Kaspersky Endpoint Security для Windows

Если вы используете Kaspersky Endpoint Security 11.7.0 и выше с установленным компонентом EDR Optimum (встроенный агент), для работы решения Kaspersky Endpoint Detection and Response Optimum дополнительных действий не требуется. Компонент EDR Optimum несовместим с программой Kaspersky Endpoint Agent. Если на компьютере установлена программа Kaspersky Endpoint Agent, при обновлении Kaspersky Endpoint Security до версии 11.7.0 решение Kaspersky Endpoint Detection and Response Optimum продолжит работу с Kaspersky Endpoint Security. Также Kaspersky Endpoint Agent будет удален с компьютера. Для завершения миграции из Kaspersky Endpoint Agent на Kaspersky Endpoint Security для Windows вам нужно перенести параметры политик и задач с помощью мастера миграции.

Если вы используете Kaspersky Endpoint Security 11.4.0-11.6.0 для взаимодействия с Kaspersky Endpoint Detection and Response Optimum, в состав программы включена программа Kaspersky Endpoint Agent. Вы можете установить Kaspersky Endpoint Agent совместно с Kaspersky Endpoint Security.

Компонент EDR Optimum в составе Kaspersky Endpoint Security поддерживает работу с решением Kaspersky Endpoint Detection and Response Optimum версии 2.0. Работа с решением Kaspersky Endpoint Detection and Response Optimum версии 1.0 не поддерживается.

Поиск индикаторов компрометации (IOC)

Индикатор компрометации (Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к компьютеру (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему. Задача Поиск IOC позволяет обнаруживать индикаторы компрометации на компьютере и выполнять действия по реагированию на угрозы.

Для поиска индикаторов компрометации Kaspersky Endpoint Security использует IOC-файлы. IOC-файлы – файлы, содержащие набор индикаторов, при совпадении с которыми программа считает событие обнаружением. IOC-файлы должны соответствовать стандарту описания OpenIOC. Kaspersky Endpoint Security создает IOC-файлы автоматически, а также позволяет загружать IOC-файлы, подготовленные пользователем. Если вы хотите добавить индикатор компрометации вручную, ознакомьтесь с требованиями к IOC-файлам.

В файле, который можно загрузить по ссылке ниже, приведена таблица с полным списком IOC-терминов стандарта OpenIOC, поддерживаемых решением Kaspersky Endpoint Detection and Response.

ЗАГРУЗИТЬ ФАЙЛ IOC_TERMS.XLSX

Режимы запуска задачи Поиск IOC

Kaspersky Endpoint Security позволяет запускать задачи Поиск IOC в следующих режимах:

• Стандартная задача поиска IOC – групповая или локальная задача, которые создаются и настраиваются вручную в Web Console. Для запуска задач используются IOC-файлы, подготовленные пользователем.
• Автономная задача поиска IOC – групповая задача, которая создается автоматически при реагировании на угрозу, обнаруженную Kaspersky Sandbox. Kaspersky Endpoint Security автоматически формирует IOC-файл. Работа с пользовательскими IOC-файлами не предусмотрена. Задачи автоматически удаляются через семь дней после последнего запуска или с момента создания, если задачи не запускались. Подробнее об автономных задачах поиска IOC см. в справке Kaspersky Sandbox.

Запуск задачи Поиск IOC

При реагировании на угрозы Kaspersky Sandbox может автоматически создавать задачи Поиск IOC. В Kaspersky Endpoint Detection and Response Optimum вы можете создавать задачи Поиск IOC только вручную.

Вы можете создавать задачи Поиск IOC вручную следующими способами:

• В деталях обнаружения.

  Детали обнаружения – инструмент для просмотра всей собранной информации об обнаруженной угрозе и управления действиями по реагированию. Детали обнаружения содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями обнаружения см. справке Kaspersky Endpoint Detection and Response Optimum.

• С помощью мастера создания задач.

Вы можете настроить параметры задачи только в Web Console.

Для создания автономных задач поиска IOC при реагировании на угрозы требуется Kaspersky Security Center версии 13.2.

Чтобы создать задачу Поиск IOC, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Задачи.

   Откроется список задач.

2. Нажмите на кнопку Добавить.

   Запустится мастер создания задачи.

3. Настройте параметры задачи:
   1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.7.0).
   2. В раскрывающемся списке Тип задачи выберите Поиск IOC.
   3. В поле Название задачи введите короткое описание задачи.
   4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.
4. Выберите устройства в соответствии с выбранным вариантом области действия задачи. Нажмите на кнопку Далее.
5. Выберите учетную запись пользователя, права которого требуется использовать для запуска задачи. Нажмите на кнопку Далее.

   По умолчанию Kaspersky Endpoint Security запускает задачу под системной учетной записью (SYSTEM).

   У системной учетной записи (SYSTEM) отсутствуют права на выполнение задачи Поиск IOC на сетевых дисках. Если вы хотите выполнить задачу на сетевом диске, выберите учетную запись пользователя, у которого есть доступ к этому диску.

   Для работы автономных задач поиска IOC на сетевых дисках вам нужно вручную выбрать учетную запись пользователя, у которого есть доступ к этом диску, в свойствах задачи.

6. Завершите работу мастера по кнопке Готово.

   В списке задач отобразится новая задача.

7. Нажмите на новую задачу.

   Откроется окно свойств задачи.

8. Выберите закладку Параметры программы.
9. Перейдите в раздел Настройки поиска IOC.
10. Загрузите IOC-файлы для поиска индикаторов компрометации.

    После загрузки IOC-файлов вы можете просмотреть список индикаторов из IOC-файлов. Если требуется, вы можете временно выключить IOC-файлы из области действия задачи.

    Не рекомендуется добавлять или удалять IOC-файлы после запуска задачи. Это может привести к некорректному отображению результатов поиска IOC для предыдущих запусков задачи. Для поиска индикаторов компрометации по новым IOC-файлам рекомендуется добавлять новые задачи.

11. Настройте действия при обнаружении индикатора компрометации:
    • Изолировать компьютер от сети. Если выбран этот вариант действия, то Kaspersky Endpoint Security изолирует компьютер от сети для предотвращения распространения угрозы. Вы можете настроить время изоляции в параметрах компонента Endpoint Detection and Response.
    • Копию поместить на карантин, объект удалить. Если выбран этот вариант действия, то Kaspersky Endpoint Security удаляет вредоносный объект, обнаруженный на компьютере. Перед удалением объекта Kaspersky Endpoint Security формирует его резервную копию на тот случай, если впоследствии понадобится восстановить объект. Kaspersky Endpoint Security помещает резервную копию на карантин.
    • Запускать проверку важных областей. Если выбран этот вариант действия, то Kaspersky Endpoint Security запускает задачу Проверка важных областей. По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы.
12. Перейдите в раздел Дополнительно.
13. Выберите типы данных (IOC-документы), которые необходимо анализировать во время выполнения задачи.

    Kaspersky Endpoint Security автоматически выбирает типы данных (IOC-документы) для задачи Поиск IOC в соответствии с содержанием загруженных IOC-файлов. Не рекомендуется самостоятельно отменять выбор типов данных.

    Дополнительно вы можете настроить области поиска для следующих типов данных:

    • Файлы - FileItem. Задайте область поиска IOC на компьютере с помощью предустановленных областей.

      По умолчанию Kaspersky Endpoint Security выполняет поиск IOC только в важных областях компьютера, таких как папки Загрузки, Рабочий стол, папка с временными файлами операционной системы и другие. Также вы можете добавить области поиска вручную.

    • Журналы событий Windows - EventLogItem. Задайте период времени, в течение которого зафиксированы события. Также вы можете выбрать журналы событий Windows для поиска IOC: журнал событий приложений, журнал системных событий или журнал событий безопасности.

    Для типа данных Реестр Windows - RegistryItem Kaspersky Endpoint Security анализирует определенный набор разделов реестра.

14. Нажмите на кнопку Сохранить.
15. Установите флажок напротив задачи.
16. Нажмите на кнопку Запустить.

В результате Kaspersky Endpoint Security запустит поиск индикаторов компрометации на компьютере. Вы можете просмотреть результаты выполнения задачи в свойствах задачи в разделе Результаты. Информацию об обнаруженных индикаторах компрометации вы можете посмотреть в свойствах задачи Параметры программы → Результаты поиска IOC.

Срок хранения результатов поиска IOC составляет 30 дней. По истечении этого времени Kaspersky Endpoint Security автоматически удаляет старые записи.

Помещение файла на карантин

При реагировании на угрозы Kaspersky Endpoint Detection and Response Optimum может создавать задачи Помещение файла на карантин. Карантин – это специальное локальное хранилище на компьютере, в которое помещаются файлы, возможно зараженные вирусами или неизлечимые. Файлы на карантине хранятся в зашифрованном виде и не угрожают безопасности устройства. Kaspersky Endpoint Security использует карантин только при работе с решениями Kaspersky Sandbox и Kaspersky Endpoint Detection and Response Optimum. В остальных случаях Kaspersky Endpoint Security помещает файл в резервное хранилище. Подробнее о работе с карантином в составе решений см. в справке Kaspersky Sandbox и Kaspersky Endpoint Detection and Response Optimum.

Вы можете создавать задачи Помещение файла на карантин следующими способами:

• В деталях обнаружения.

  Детали обнаружения – инструмент для просмотра всей собранной информации об обнаруженной угрозе и управления действиями по реагированию. Детали обнаружения содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями обнаружения см. справке Kaspersky Endpoint Detection and Response Optimum.

• С помощью мастера создания задач.

  Вам нужно ввести путь к файлу или хеш файла (SHA256 или MD5), или путь к файлу и хеш файла.

Размер файла не должен превышать 100 МБ.

Вы можете настроить параметры задачи только в Web Console.

Чтобы создать задачу Помещение файла на карантин, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Задачи.

   Откроется список задач.

2. Нажмите на кнопку Добавить.

   Запустится мастер создания задачи.

3. Настройте параметры задачи:
   1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.7.0).
   2. В раскрывающемся списке Тип задачи выберите Помещение файла на карантин.
   3. В поле Название задачи введите короткое описание задачи.
   4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.
4. Выберите устройства в соответствии с выбранным вариантом области действия задачи. Нажмите на кнопку Далее.
5. Выберите учетную запись пользователя, права которого требуется использовать для запуска задачи. Нажмите на кнопку Далее.

   По умолчанию Kaspersky Endpoint Security запускает задачу под системной учетной записью (SYSTEM).

6. Завершите работу мастера по кнопке Готово.

   В списке задач отобразится новая задача.

7. Нажмите на новую задачу.

   Откроется окно свойств задачи.

8. Выберите закладку Параметры программы.
9. В списке файлов нажмите на кнопку Добавить.

   Запустится мастер добавления файла.

10. Для добавления файла вам нужно ввести полный путь к файлу или хеш файла и путь к файлу.

    Если файл расположен на сетевом диске, введите путь к файлу начиная с символов \\, а не с буквы диска. Например, \\server\shared_folder\file.exe. Если путь к файлу содержит букву сетевого диска, вы можете получить ошибку Файл не найден.

11. Нажмите на кнопку Сохранить.
12. Установите флажок напротив задачи.
13. Нажмите на кнопку Запустить.

В результате Kaspersky Endpoint Security переместит файл в карантин. Если файл заблокирован другим процессом, то задача будет отображаться со статусом Выполнено, но сам файл будет помещен на карантин только после перезагрузки компьютера. После перезагрузки компьютера убедитесь, что файл удален.

Задача Помещение файла на карантин может быть завершена с ошибкой Доступ запрещен, если вы пытаетесь поместить на карантин запущенный исполняемый файл. Создайте задачу завершения процесса для этого файла, а затем повторите попытку.

Задача Помещение файла на карантин может быть завершена с ошибкой Недостаточно места в хранилище карантина, если вы пытаетесь поместить на карантин большой файл. Очистите карантин или увеличьте размер карантина. Затем повторите попытку.

Вы можете восстановить файл из карантина или очистить карантин в Web Console. Восстановление объектов доступно на компьютере локально из командной строки.

Получение файла

Вы можете получать файлы с компьютеров пользователей. Например, вы можете настроить получение файла журнала событий, который создает сторонняя программа. Для получения файла вам нужно создать специальную задачу. В результате выполнения задачи файл будет сохранен в карантине. Вы можете загрузить этот файл на компьютер из карантина в Web Console. При этом на компьютере пользователя файл остается в исходной папке.

Размер файла не должен превышать 100 МБ.

Вы можете настроить параметры задачи только в Web Console.

Чтобы создать задачу Получение файла, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Задачи.

   Откроется список задач.

2. Нажмите на кнопку Добавить.

   Запустится мастер создания задачи.

3. Настройте параметры задачи:
   1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.7.0).
   2. В раскрывающемся списке Тип задачи выберите Получение файла.
   3. В поле Название задачи введите короткое описание задачи.
   4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.
4. Выберите устройства в соответствии с выбранным вариантом области действия задачи. Нажмите на кнопку Далее.
5. Выберите учетную запись пользователя, права которого требуется использовать для запуска задачи. Нажмите на кнопку Далее.

   По умолчанию Kaspersky Endpoint Security запускает задачу под системной учетной записью (SYSTEM).

6. Завершите работу мастера по кнопке Готово.

   В списке задач отобразится новая задача.

7. Нажмите на новую задачу.

   Откроется окно свойств задачи.

8. Выберите закладку Параметры программы.
9. В списке файлов нажмите на кнопку Добавить.

   Запустится мастер добавления файла.

10. Для добавления файла вам нужно ввести полный путь к файлу или хеш файла и путь к файлу.

    Если файл расположен на сетевом диске, введите путь к файлу начиная с символов \\, а не с буквы диска. Например, \\server\shared_folder\file.exe. Если путь к файлу содержит букву сетевого диска, вы можете получить ошибку Файл не найден.

11. Нажмите на кнопку Сохранить.
12. Установите флажок напротив задачи.
13. Нажмите на кнопку Запустить.

В результате Kaspersky Endpoint Security создаст копию файла и поместит копию в карантин. Вы можете загрузить файл из карантина в Web Console.

Удаление файла

Вы можете удаленно удалять файлы с помощью задачи Удаление файла. Например, вы можете удаленно удалить файл при реагировании на угрозы.

Вы можете настроить параметры задачи только в Web Console.

Чтобы создать задачу Удаление файла, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Задачи.

   Откроется список задач.

2. Нажмите на кнопку Добавить.

   Запустится мастер создания задачи.

3. Настройте параметры задачи:
   1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.7.0).
   2. В раскрывающемся списке Тип задачи выберите Удаление файла.
   3. В поле Название задачи введите короткое описание задачи.
   4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.
4. Выберите устройства в соответствии с выбранным вариантом области действия задачи. Нажмите на кнопку Далее.
5. Выберите учетную запись пользователя, права которого требуется использовать для запуска задачи. Нажмите на кнопку Далее.

   По умолчанию Kaspersky Endpoint Security запускает задачу под системной учетной записью (SYSTEM).

6. Завершите работу мастера по кнопке Готово.

   В списке задач отобразится новая задача.

7. Нажмите на новую задачу.

   Откроется окно свойств задачи.

8. Выберите закладку Параметры программы.
9. В списке файлов нажмите на кнопку Добавить.

   Запустится мастер добавления файла.

10. Для добавления файла вам нужно ввести полный путь к файлу или хеш файла и путь к файлу.

    Если файл расположен на сетевом диске, введите путь к файлу начиная с символов \\, а не с буквы диска. Например, \\server\shared_folder\file.exe. Если путь к файлу содержит букву сетевого диска, вы можете получить ошибку Файл не найден.

11. Нажмите на кнопку Сохранить.
12. Установите флажок напротив задачи.
13. Нажмите на кнопку Запустить.

В результате Kaspersky Endpoint Security удалит файл с компьютера. Если файл заблокирован другим процессом, то задача будет отображаться со статусом Выполнено, но сам файл будет удален только после перезагрузки компьютера. После перезагрузки компьютера убедитесь, что файл удален.

Задача Удаление файла может быть завершена с ошибкой Доступ запрещен, если вы пытаетесь удалить запущенный исполняемый файл. Создайте задачу завершения процесса для этого файла, а затем повторите попытку.

Запуск процесса

Вы можете удаленно запускать файлы с помощью задачи Запуск процесса. Например, вы можете удаленно запускать утилиту, которая создает файл с конфигурацией компьютера. Далее с помощью задачи Получить файл, вы можете получить созданный файл в Kaspersky Security Center Web Console.

Вы можете настроить параметры задачи только в Web Console.

Чтобы создать задачу Запуск процесса, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Задачи.

   Откроется список задач.

2. Нажмите на кнопку Добавить.

   Запустится мастер создания задачи.

3. Настройте параметры задачи:
   1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.7.0).
   2. В раскрывающемся списке Тип задачи выберите Запуск процесса.
   3. В поле Название задачи введите короткое описание задачи.
   4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.
4. Выберите устройства в соответствии с выбранным вариантом области действия задачи. Нажмите на кнопку Далее.
5. Выберите учетную запись пользователя, права которого требуется использовать для запуска задачи. Нажмите на кнопку Далее.

   По умолчанию Kaspersky Endpoint Security запускает задачу под системной учетной записью (SYSTEM).

6. Завершите работу мастера по кнопке Готово.

   В списке задач отобразится новая задача.

7. Нажмите на новую задачу.
8. Откроется окно свойств задачи.
9. Выберите закладку Параметры программы.
10. Введите команду запуска процесса.

    Например, если вы хотите запустить утилиту (utility.exe), которая сохраняет информацию о конфигурации компьютера в файл conf.txt, вам нужно ввести следующие значения:

    • Исполняемая команда – utility.exe
    • Аргументы командной строки – /R conf.txt
    • Путь к рабочей папке – C:\Users\admin\Diagnostic\

    Также вы можете в поле Исполняемая команда ввести значение C:\Users\admin\Diagnostic\utility.exe /R conf.txt. В этом случае другие параметры указывать не требуется.

11. Нажмите на кнопку Сохранить.
12. Установите флажок напротив задачи.
13. Нажмите на кнопку Запустить.

В результате Kaspersky Endpoint Security выполнит команду в тихом режиме и запустит процесс. Вы можете просмотреть результаты выполнения задачи в свойствах задачи в разделе Результаты.

Завершение процесса

Вы можете удаленно завершать процессы с помощью задачи Завершение процесса. Например, вы можете удаленно завершить работу утилиты проверки скорости интернета, которая была запущена с помощью задачи Запуск процесса.

Если вы хотите запретить запуск файла, вы можете настроить компонент Запрет запуска объектов. Вы можете запретить запуск исполняемых файлов, скриптов, файлов офисного формата.

Задача Завершение процесса имеет следующие ограничения:

• Завершить процессы критически важных системных объектов (англ. System Critical Object – SCO) невозможно. К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security для Windows.
• Вы можете настроить параметры задачи для EDR Optimum в Web Console и Cloud Console. Параметры задачи для EDR Expert доступны только в Cloud Console.

Чтобы создать задачу Завершение процесса, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Задачи.

   Откроется список задач.

2. Нажмите на кнопку Добавить.

   Запустится мастер создания задачи.

3. Настройте параметры задачи:
   1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.7.0).
   2. В раскрывающемся списке Тип задачи выберите Завершение процесса.
   3. В поле Название задачи введите короткое описание задачи.
   4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.
4. Выберите устройства в соответствии с выбранным вариантом области действия задачи. Нажмите на кнопку Далее.
5. Выберите учетную запись пользователя, права которого требуется использовать для запуска задачи. Нажмите на кнопку Далее.

   По умолчанию Kaspersky Endpoint Security запускает задачу под системной учетной записью (SYSTEM).

6. Завершите работу мастера по кнопке Готово.

   В списке задач отобразится новая задача.

7. Нажмите на новую задачу.

   Откроется окно свойств задачи.

8. Выберите закладку Параметры программы.
9. Для завершения процесса вам нужно выбрать файл, работу которого вы хотите завершить. Вы можете выбрать файл следующими способами:
   • Введите полный путь к файлу.
   • Введите хеш файла и путь к файлу.
   • Введите идентификатор процесса PID (только для локальных задач).

   Если файл расположен на сетевом диске, введите путь к файлу начиная с символов \\, а не с буквы диска. Например, \\server\shared_folder\file.exe. Если путь к файлу содержит букву сетевого диска, вы можете получить ошибку Файл не найден.

10. В окне свойств задачи выберите закладку Расписание.
11. Настройте расписание запуска задачи.

    Для этой задачи функция Wake-on-LAN недоступна. Убедитесь, что компьютер включен для выполнения задачи.

12. Нажмите на кнопку Сохранить.
13. Установите флажок напротив задачи.
14. Нажмите на кнопку Запустить.

В результате Kaspersky Endpoint Security завершит процесс на компьютере. Например, если на компьютере запущено приложение GAME и вы завершили процесс game.exe, приложение будет закрыто без сохранения данных. Вы можете просмотреть результаты выполнения задачи в свойствах задачи в разделе Результаты.

Запрет запуска объектов

Запрет запуска объектов позволяет контролировать запуск исполняемых файлов и скриптов, а также открытие файлов офисного формата. Таким образом, вы можете, например, запретить запуск программ, использование которых считаете небезопасным. Запрет запуска объектов поддерживает определенный набор расширений файлов офисного формата и определенный набор интерпретаторов скриптов.

Правило запрета запуска

Запрет запуска объектов управляет доступом пользователей к файлам с помощью правил запрета запуска. Правило запрета запуска – это набор критериев, которые учитываются при выполнении блокировки. Программа идентифицирует файлы по их пути или контрольной сумме с помощью алгоритмов хеширования MD5 и SHA256.

Вы можете создавать правила запрета запуска следующими способами:

• В деталях обнаружения.

  Детали обнаружения – инструмент для просмотра всей собранной информации об обнаруженной угрозе и управления действиями по реагированию. Детали обнаружения содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями обнаружения см. справке Kaspersky Endpoint Detection and Response Optimum.

• С помощью групповой политики или локальных параметров программы.

  Вам нужно ввести путь к файлу или хеш файла (SHA256 или MD5), или путь к файлу и хеш файла.

Вы также можете управлять Запретом запуска объектов локально из командной строки.

Не рекомендуется создавать более 5000 правил запрета запуска, поскольку это может привести к нестабильности системы.

Правила запрета не распространяются на файлы, расположенные на компакт-дисках или в ISO-образах. Программа не будет блокировать исполнение или открытие этих файлов.

Режимы применения правил запрета запуска

Компонент Запрет запуска объектов может работать в двух режимах:

• Только статистика.

  В этом режиме Kaspersky Endpoint Security публикует в Журнал событий Windows и Kaspersky Security Center событие о попытках запуска исполняемых объектов или открытия документов, соответствующих критериям правил запрета, но не блокирует их запуск или открытие. Этот режим выбран по умолчанию.

• Активный.

  В этом режиме программа блокирует запуск объектов или открытие документов, соответствующих критериям правил запрета. Также программа публикует в журнал событий Windows и Kaspersky Security Center событие о попытках запуска объектов или открытия документов.

Управление Запретом запуска объектов

Вы можете настроить параметры компонента только в Web Console.

Чтобы запретить запуск объектов, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.

   Откроется окно свойств политики.

3. Выберите закладку Параметры программы.
4. Перейдите в раздел Detection and Response → Endpoint Detection and Response.
5. Используйте переключатель Запрет запуска, чтобы включить или выключить компонент.
6. В блоке Действие при запуске или открытии объекта выберите режим работы компонента:
   • Блокировать и записывать в отчет. В этом режиме программа блокирует запуск объектов или открытие документов, соответствующих критериям правил запрета. Также программа публикует в журнал событий Windows и Kaspersky Security Center событие о попытках запуска объектов или открытия документов.
   • Только записывать в отчет. В этом режиме Kaspersky Endpoint Security публикует в Журнал событий Windows и Kaspersky Security Center событие о попытках запуска исполняемых объектов или открытия документов, соответствующих критериям правил запрета, но не блокирует их запуск или открытие. Этот режим выбран по умолчанию.
7. Сформируйте список правил запрета запуска:
   1. Нажмите на кнопку Добавить.
   2. В открывшемся окне введите имя правила запрета запуска (например, Программа A).
   3. В раскрывающемся списке Тип выберите объект, который вы хотите заблокировать: Исполняемый файл, Скрипт, Файл офисного формата.

      Если вы выберите неверный тип объекта, Kaspersky Endpoint Security не заблокирует файл или скрипт.

   4. Для добавления файла вам нужно ввести хеш файла (SHA256 или MD5) или полный путь к файлу, или хеш файла и путь к файлу.

      Если файл расположен на сетевом диске, введите путь к файлу начиная с символов \\, а не с буквы диска. Например, \\server\shared_folder\file.exe. Если путь к файлу содержит букву сетевого диска, Kaspersky Endpoint Security не заблокирует файл или скрипт.

      Запрет запуска объектов поддерживает определенный набор расширений файлов офисного формата и определенный набор интерпретаторов скриптов.

   5. Нажмите на кнопку ОК.
8. Сохраните внесенные изменения.

В результате Kaspersky Endpoint Security будет блокировать запуск объектов: запуск исполняемых файлов, скриптов и открытие файлов офисного формата. При этом вы можете, например, открыть файл скрипта в текстовом редакторе, даже если запуск скрипта запрещен. При блокировании запуска объекта Kaspersky Endpoint Security покажет пользователю стандартное уведомление программы (см. рис. ниже), если уведомления включены в настройках программы.

Уведомление Запрета запуска объектов

Сетевая изоляция компьютера

Сетевая изоляция позволяет автоматически изолировать компьютеры от сети, в результате реагирования на обнаружение индикатора компрометации (IOC) – автоматический режим. Также вы можете включить Сетевую изоляцию вручную на время исследования обнаруженной угрозы – ручной режим.

После включения Сетевой изоляции приложение разрывает все активные и блокирует все новые сетевые соединения TCP/IP на компьютере, кроме следующих соединений:

• соединения, указанные в исключениях из Сетевой изоляции;
• соединения, инициированные службами Kaspersky Endpoint Security;
• соединения, инициированные Агентом администрирования Kaspersky Security Center.

Вы можете настроить параметры компонента только в Web Console.

Автоматический режим Сетевой изоляции

Вы можете настроить автоматическое включение Сетевой изоляции, в результате реагирования на обнаружение IOC. Для настройки автоматического режима Сетевой изоляции предназначена групповая политика.

Как настроить автоматическое включение Сетевой изоляции компьютера при обнаружении IOC

Вы можете настроить автоматическое выключение Сетевой изоляции по истечении заданного периода времени. По умолчанию приложение выключает Сетевую изоляцию через 8 часов с момента включения. Также вы можете выключить Сетевую изоляцию вручную (см. инструкцию ниже). После выключения Сетевой изоляции компьютер может работать в сети без ограничений.

Как задать период выключения Сетевой изоляции компьютера в автоматическом режиме

Ручной режим Сетевой изоляции

Вы можете включать или выключать Сетевую изоляцию вручную. Для настройки ручного режим Сетевой изоляции предназначены свойства компьютера в консоли Kaspersky Security Center.

Вы можете включить Сетевую изоляцию следующими способами:

• В деталях обнаружения (только для EDR Optimum).

  Детали обнаружения – инструмент для просмотра всей собранной информации об обнаруженной угрозе. Детали обнаружения содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями обнаружения см. в справке Kaspersky Endpoint Detection and Response Optimum и в справке Kaspersky Endpoint Detection and Response Expert.

• С помощью локальных параметров приложения.

Как вручную включить Сетевую изоляцию компьютера

Вы можете настроить автоматическое выключение Сетевой изоляции по истечении заданного периода времени. По умолчанию приложение выключает Сетевую изоляцию через 8 часов с момента включения. После выключения Сетевой изоляции компьютер может работать в сети без ограничений.

Как задать период выключения Сетевой изоляции компьютера в ручном режиме

Как вручную выключить Сетевую изоляцию компьютера

Вы также можете выключить Сетевую изоляцию локально из командной строки.

Исключения из Сетевой изоляции

Вы можете задать исключения из Сетевой изоляции. Сетевые соединения, подпадающие под заданные правила, не будут заблокированы на компьютере после включения Сетевой изоляции.

Для настройки исключений из Сетевой изоляции в приложении доступен список стандартных сетевых профилей. По умолчанию в исключения входят сетевые профили, состоящие из правил, обеспечивающих бесперебойную работу устройств с ролями DNS/DHCP-сервер и DNS/DHCP-клиент. Также вы можете изменить параметры стандартных сетевых профилей или задать исключения вручную (см. инструкцию ниже).

Исключения, заданные в свойствах политики, применяются, только если Сетевая изоляция включена приложением автоматически, в результате реагирования на обнаружение угрозы. Исключения, заданные в свойствах компьютера, применяются, только если Сетевая изоляция включена вручную в свойствах компьютера в консоли Kaspersky Security Center или в деталях обнаружения.

Активная политика не блокирует применение исключений из Сетевой изоляции, заданных в свойствах компьютера, так как сценарии применения этих параметров разные.

Как добавить исключение из Сетевой изоляции в автоматическом режиме

Как добавить исключение из Сетевой изоляции в ручном режиме

Вы также можете просмотреть список исключений из Сетевой изоляции локально из командной строки. При этом компьютер должен быть изолирован.

Kaspersky Sandbox

При взаимодействии с Kaspersky Sandbox программа позволяет выполнять следующие функции:

• Добавление TLS-сертификата для безопасного соединения с серверами Kaspersky Sandbox.
• Добавление серверов Kaspersky Sandbox.
• Выбор действия при реагировании на угрозы.
• Поиск индикаторов компрометации (IOC).

Для работы решения Kaspersky Sandbox требуется Kaspersky Security Center версии 13.2. В более ранних версиях Kaspersky Security Center недоступно создание автономных задач поиска IOC при реагировании на угрозы.

Управление компонентом доступно только в Web Console. Управлять компонентом в Консоли администрирования (MMC) невозможно.

Интеграция с Kaspersky Sandbox

Интеграция с Kaspersky Sandbox состоит из следующих этапов:

1. Установка компонента Kaspersky Sandbox

   Вы можете выбрать компонент Kaspersky Sandbox во время установки или обновления программы, а также с помощью задачи Изменение состава компонентов программы.

   В результате выполнения задачи Изменение состава компонентов программы некорректно отображается статус задачи. Вместо статуса Завершена успешно задача имеет статус Ожидает выполнения. При этом задача может быть выполнена успешно. Убедитесь, что новый компонент установлен в консоли Kaspersky Security Center в свойствах компьютера (Программы → Kaspersky Endpoint Security для Windows → Компоненты) или в локальном интерфейсе программы.

2. Добавление TLS-сертификата

   Для настройки доверенного соединения с серверами Kaspersky Sandbox вам нужно подготовить TLS-сертификат. Далее вам нужно добавить сертификат на серверы Kaspersky Sandbox и в политике Kaspersky Endpoint Security. Подробнее о подготовке сертификата и добавлении сертификата на серверы см. в справке Kaspersky Sandbox.

   Как добавить TLS-сертификат в Web Console

   1. В главном окне Web Console выберите Устройства → Политики и профили политик.
   2. Нажмите на название политики Kaspersky Endpoint Security.

      Откроется окно свойств политики.

   3. Выберите закладку Параметры программы.
   4. Перейдите в раздел Detection and Response → Kaspersky Sandbox.
   5. Перейдите по ссылке Настройки подключения к серверам.

      Откроется окно с параметрами подключения к серверам Kaspersky Sandbox.

   6. В блоке TLS-сертификат серверов нажмите на кнопку Добавить и выберите файл TLS-сертификата.

      В Kaspersky Endpoint Security может быть только один TLS-сертификат сервера Kaspersky Sandbox. Если вы ранее уже добавили TLS-сертификат, то этот сертификат прекращает действовать. Только последний добавленный сертификат будет актуальным.

   7. Настройте дополнительные параметры подключения к серверам Kaspersky Sandbox:
      • Время ожидания запроса. Время ожидания соединения с сервером Kaspersky Sandbox. По истечению заданного времени ожидания Kaspersky Endpoint Security отправит запрос на следующий сервер. Вы можете увеличить время ожидания соединения с Kaspersky Sandbox, если у вас низкая скорость соединения или соединение нестабильно. Значение по умолчанию 5 сек.
      • Очередь запросов Kaspersky Sandbox. Размер папки хранения очереди запросов. При обращении к объекту (запуск исполняемого файла или открытие документа, например, в формате DOCX или PDF) на компьютере Kaspersky Endpoint Security может отправить объект на дополнительную проверку в Kaspersky Sandbox. Если запросов несколько, Kaspersky Endpoint Security создает очередь запросов. По умолчанию размер папки хранения очереди запросов ограничен 100 МБ. После достижения максимального размера Kaspersky Sandbox перестает добавлять новые запросы в очередь и отправляет соответствующее событие в Kaspersky Security Center. Вы можете настроить размер папки хранения очереди запросов в зависимости от конфигурации сервера.
   8. Сохраните внесенные изменения.

   В результате Kaspersky Endpoint Security проверит TLS-сертификат. Если сертификат прошел проверку, Kaspersky Endpoint Security отправит файл сертификата на компьютер при следующей синхронизации с Kaspersky Security Center. Если вы добавили два TLS-сертификата, Kaspersky Sandbox использует последний сертификат для установки доверенного соединения.

   Вы также можете добавить TLS-сертификат на компьютер локально из командной строки.

3. Включение компонента Kaspersky Sandbox

   Вы можете включить или выключить компонент в настройках политики Kaspersky Endpoint Security для Windows.

   Для работы компонента должны быть выполнены следующие условия:

   • Программа активирована и функциональность входит в лицензию.
   • Компонент Kaspersky Sandbox включен.

   Как включить или выключить Kaspersky Sandbox в Web Console

   1. В главном окне Web Console выберите Устройства → Политики и профили политик.
   2. Нажмите на название политики Kaspersky Endpoint Security.

      Откроется окно свойств политики.

   3. Выберите закладку Параметры программы.
   4. Перейдите в раздел Detection and Response → Kaspersky Sandbox.
   5. Используйте переключатель Интеграция с Kaspersky Sandbox, чтобы включить или выключить компонент.
   6. Сохраните внесенные изменения.

   Вы также можете выключить или выключить Kaspersky Sandbox локально из командной строки.

   В результате компонент Kaspersky Sandbox будет включен. Проверьте статус работы компонента с помощью отчета Отчет о статусе компонентов программы. Также вы можете посмотреть статус работы компонента в локальном интерфейсе Kaspersky Endpoint Security в отчетах. В список компонентов Kaspersky Endpoint Security будет добавлен компонент Kaspersky Sandbox.

4. Подключение компьютеров к серверам Kaspersky Sandbox

   Для подключения компьютеров к серверам Kaspersky Sandbox с виртуальными образами операционных систем вам нужно ввести адрес сервера и порт. Подробнее о развертывании виртуальных образов и конфигурации серверов Kaspersky Sandbox см. в справке Kaspersky Sandbox.

   Как подключить компьютеры к серверам Kaspersky Sandbox в Web Console

   1. В главном окне Web Console выберите Устройства → Политики и профили политик.
   2. Нажмите на название политики Kaspersky Endpoint Security.

      Откроется окно свойств политики.

   3. Выберите закладку Параметры программы.
   4. Перейдите в раздел Detection and Response → Kaspersky Sandbox.
   5. В блоке Серверы Kaspersky Sandbox нажмите на кнопку Добавить.
   6. В открывшемся окне введите адрес сервера Kaspersky Sandbox (IPv4, IPv6, DNS), а также порт подключения к серверу.
   7. Сохраните внесенные изменения.
5. Установка фонового соединения между Kaspersky Security Center Web Console и Сервером администрирования

   Для работы Kaspersky Sandbox c Сервером администрирования через Kaspersky Security Center Web Console вам нужно установить новое безопасное соединение – фоновое соединение. Подробнее об интеграции Kaspersky Security Center с другими решениями "Лаборатории Касперского" см. в справке Kaspersky Security Center.

   Как установить фоновое соединение в Web Console

   1. В главном окне Web Console выберите Параметры консоли → Интеграция.
   2. Перейдите в раздел Межсервисная интеграция.
   3. Включите переключатель Установить фоновое соединение для межсервисной интеграции.
   4. Сохраните внесенные изменения.

   Если фоновое соединение между Kaspersky Security Center Web Console и Сервером администрирования отсутствует, создание автономных задач поиска IOC при реагировании на угрозы недоступно.

6. Включение передачи данных на Сервер администрирования

   Для работы всех функций Kaspersky Sandbox должна быть включена передача данных о файлах карантина. Данные нужны для получения информации о помещенных на компьютере файлах на карантин в Web Console. В Web Console вы можете, например, загрузить файл из карантина на компьютер для анализа.

   Как включить передачу данных на Сервер администрирования в Web Console

   1. В главном окне Web Console выберите Устройства → Политики и профили политик.
   2. Нажмите на название политики Kaspersky Endpoint Security.

      Откроется окно свойств политики.

   3. Выберите закладку Параметры программы.
   4. Перейдите в раздел Общие настройки → Отчеты и хранилище.
   5. В блоке Передача данных на Сервер администрирования установите флажок О файлах на карантине.
   6. Сохраните внесенные изменения.

Миграция из Kaspersky Endpoint Agent на Kaspersky Endpoint Security для Windows

Если вы используете Kaspersky Endpoint Security 11.7.0 и выше с установленным компонентом Kaspersky Sandbox, поддержка взаимодействия с решением Kaspersky Sandbox доступна сразу после установки. Компонент Kaspersky Sandbox несовместим с программой Kaspersky Endpoint Agent. Если на компьютере установлена программа Kaspersky Endpoint Agent, при обновлении Kaspersky Endpoint Security до версии 11.7.0 решение Kaspersky Sandbox продолжит работу с Kaspersky Endpoint Security. Также Kaspersky Endpoint Agent будет удален с компьютера. Для завершения миграции из Kaspersky Endpoint Agent на Kaspersky Endpoint Security для Windows вам нужно перенести параметры политик и задач с помощью мастера миграции.

Если вы используете Kaspersky Endpoint Security 11.4.0-11.6.0, для взаимодействия с Kaspersky Sandbox в состав программы включена программа Kaspersky Endpoint Agent. Вы можете установить Kaspersky Endpoint Agent совместно с Kaspersky Endpoint Security.

Компонент Kaspersky Sandbox в составе Kaspersky Endpoint Security поддерживает работу с решением Kaspersky Sandbox версии 2.0. Работа с решением Kaspersky Sandbox версии 1.0 не поддерживается.