Endpoint Detection and Response Expert (on-premise)
|
Kaspersky Endpoint Security для Windows поддерживает работу с решениями Kaspersky Endpoint Detection and Response Expert (on-premise). Kaspersky Endpoint Detection and Response Expert (on-premise) – решения для кибербезопасности бизнеса, которое включает в себя приложения "Лаборатории Касперского", с помощью которых организация получает возможность защититься от большинства киберрисков и покрыть основные сценарии распространения угроз. Компоненты EDR Expert (on-premise) развернуты на единой платформе управления Open Single Management Platform (OSMP). Платформа обеспечивает выполнение кросс-программных сценариев в рамках единого интерфейса и позволяет интегрировать приложения "Лаборатории Касперского" и приложения сторонних производителей в единую систему безопасности. Один из центральных элементов решения – SIEM. SIEM позволяет отслеживать события, полученные от всех компонентов, и выполняет взаимную корреляцию этих событий с помощью готовых и пользовательских правил. На основании журналов и телеметрии, полученных от инфраструктуры организации, EDR Expert (on-premise) автоматически выявляет атаки и позволяет проводить расследование инцидентов с помощью единого графа расследования, который комбинирует все собираемые в EDR Expert (on-premise) события – как от приложений "Лаборатории Касперского", так и от сторонних ИБ-продуктов. Для реагирования на сложные инциденты EDR Expert (on-premise) использует предустановленные и пользовательские сценарии. Также доступны действия по реагированию от приложений сторонних производителей и сценарии реагирования, в которых задействовано несколько приложений. |
Средства анализа угроз
Kaspersky Endpoint Detection and Response использует следующие средства анализа угроз (Threat Intelligence):
- Интеграция с Kaspersky Threat Intelligence Portal, который содержит и отображает информацию о репутации файлов и веб-адресов.
- База угроз "Лаборатории Касперского" Kaspersky Threats.
- Инфраструктура облачных служб Kaspersky Security Network (далее также "KSN"), предоставляющая доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции приложений "Лаборатории Касперского" на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний.
Принцип работы решения
Приложение Kaspersky Endpoint Security устанавливается на отдельных компьютерах, входящих в IT-инфраструктуру организации, и осуществляет постоянное наблюдение за процессами, открытыми сетевыми соединениями и изменяемыми файлами. Данные о событиях на компьютере (телеметрия) отправляются на сервер EDR Expert (on-premise). Приложение Kaspersky Endpoint Security также передает на сервер сбора телеметрии данные об угрозах, обнаруженных приложением, и данные о результатах обработки этих угроз.
Настройка интеграции с EDR Expert (on-premise) выполняется в консоли Kaspersky Security Center. Дальнейшее управление встроенным агентом осуществляется в единой платформе управления OSMP, включая запуск задач, управление объектами на карантине, просмотр отчетов и другие действия.
Конфигурации Kaspersky Endpoint Security для работы с EDR Expert (on-premise)
Для работы с EDR Expert (on-premise) предусмотрены следующие конфигурации:
- [KES+встроенный агент]. В этой конфигурации Kaspersky Endpoint Security является и приложением, которое обеспечивает безопасность компьютера, и приложением для работы с EDR Expert (on-premise). Встроенный агент для EDR Expert (on-premise) доступен в Kaspersky Endpoint Security для Windows версии 12.11 и выше.
- [стороннее EPP+EDR-агент]. В этой конфигурации безопасность IT-инфраструктуры обеспечивает система защиты конечных точек (англ. Endpoint Protection Platform, EPP) от сторонних поставщиков. Работу с EDR Expert (on-premise) обеспечивает Kaspersky Endpoint Security в конфигурации Endpoint Detection and Response агента (EDR-агент). В этой конфигурации EDR-агент совместим со сторонними EPP-приложениями. EDR-агент для EDR Expert (on-premise) доступен в Kaspersky Endpoint Security для Windows версии 12.11 и выше.