Endpoint Detection and Response Expert (on-premise)
|
Kaspersky Endpoint Security para Windows admite la integración con las soluciones de Kaspersky Endpoint Detection and Response Expert (on-premise). Kaspersky Endpoint Detection and Response Expert (on-premise) es una solución de ciberseguridad empresarial que incluye aplicaciones de Kaspersky que permiten a una organización defenderse contra la mayoría de los tipos de ciberriesgos y cubrir los escenarios de propagación de amenazas más importantes. Los componentes de EDR Expert (on-premise) se implementan en la plataforma abierta de administración única (OSMP). Esta plataforma ejecuta escenarios multiplataforma en una única interfaz y permite integrar aplicaciones de Kaspersky con aplicaciones de terceros en un sistema de seguridad completo. Uno de los elementos centrales de la solución es SIEM. SIEM rastrea los eventos que provienen de todos los componentes y los correlaciona entre sí mediante reglas definidas por el proveedor y el usuario. EDR Expert (on-premise) analiza los registros y la telemetría recibidos de la infraestructura corporativa para detectar ataques automáticamente y permite investigar incidentes utilizando un gráfico de investigación unificado que combina todos los eventos recopilados en EDR Expert (on-premise), incluidos eventos de aplicaciones de Kaspersky y productos de seguridad de la información de terceros. Para responder a incidentes avanzados, EDR Expert (on-premise) utiliza escenarios predefinidos y definidos por el usuario. También puede usar acciones de respuesta de aplicaciones de terceros y escenarios de respuesta que involucren varias aplicaciones. |
Herramientas de Inteligencia contra amenazas
Kaspersky Endpoint Detection and Response usa las siguientes herramientas de Inteligencia contra amenazas:
- Integración con Kaspersky Threat Intelligence Portal, que contiene y muestra información sobre la reputación de los archivos y las direcciones web.
- Base de datos de amenazas de Kaspersky.
- La infraestructura de servicios de nube de Kaspersky Security Network (en lo sucesivo también denominada "KSN"), que proporciona acceso a información de reputación de software, sitios web y archivos en tiempo real de la base de conocimientos de Kaspersky. El uso de datos de Kaspersky Security Network garantiza respuestas más rápidas por parte de las aplicaciones de Kaspersky ante amenazas, mejora el rendimiento de algunos componentes de protección y reduce el riesgo probable de que se produzcan falsos positivos.
Principio de funcionamiento de la solución
Kaspersky Endpoint Security se instala en equipos individuales en la infraestructura de TI corporativa y supervisa continuamente los procesos, las conexiones de red abiertas y los archivos que se modifican. La información sobre los eventos en el equipo (telemetría) se envía al servidor de EDR Expert (on-premise). En este caso, Kaspersky Endpoint Security también envía información sobre las amenazas descubiertas por la aplicación, así como información sobre los resultados del procesamiento de estas amenazas a los servidores de recopilación de telemetría.
La integración de EDR Expert (on-premise) se configura en la consola de Kaspersky Security Center. A continuación, el agente integrado se administra mediante la plataforma abierta de administración única (OSMP), incluida la ejecución de tareas, la administración de objetos en cuarentena, la visualización de informes y otras acciones.
Configuraciones de Kaspersky Endpoint Security para trabajar con EDR Expert (on-premise)
Se pueden utilizar las siguientes configuraciones para trabajar con EDR Expert (on-premise):
- [KES+agente integrado]. En esta configuración, Kaspersky Endpoint Security actúa como la aplicación que garantiza la seguridad del equipo y como la aplicación para trabajar con EDR Expert (on-premise). El agente integrado para EDR Expert (on-premise) está disponible en Kaspersky Endpoint Security 12.11 para Windows o posterior.
- [EPP de terceros +EDR Agent]. En esta configuración, la seguridad de la infraestructura de TI la proporciona la aplicación Endpoint Protection Platform (EPP) de terceros. La interacción con EDR Expert (on-premise) la proporciona Kaspersky Endpoint Security en la configuración de Endpoint Detection and Response Agent (EDR Agent). En esta configuración, EDR Agent es compatible con aplicaciones EPP de terceros. EDR Agent para EDR Expert (on-premise) está disponible en Kaspersky Endpoint Security 12.11 para Windows o posterior.