A partir da versão 11.7.0, o Kaspersky Endpoint Security for Windows inclui um agente integrado para a solução Kaspersky Endpoint Detection and Response Optimum (doravante também “EDR Optimum”). A partir da versão 11.8.0, o Kaspersky Endpoint Security for Windows inclui um agente integrado para a solução Kaspersky Endpoint Detection and Response Expert (doravante também “EDR Expert”). O Kaspersky Endpoint Detection and Response é uma gama de soluções para proteger a infraestrutura corporativa de TI contra ameaças cibernéticas avançadas. A funcionalidade das soluções combina a detecção automática de ameaças com a capacidade de reagir a essas ameaças para neutralizar ataques avançados, incluindo novos exploits, ransomwares, ataques sem arquivo, bem como métodos que usam ferramentas de sistema legítimas. O EDR Expert oferece mais monitoramento de ameaças e funcionalidade de resposta do que o EDR Optimum. Para obter informações detalhadas sobre a solução, consulte a Ajuda do Kaspersky Endpoint Detection and Response Optimum e a Ajuda do Kaspersky Endpoint Detection and Response Expert.
O Kaspersky Endpoint Detection and Response revisa e analisa o desenvolvimento de ameaças e fornece à equipe de segurança ou ao Administrador as informações sobre o possível ataque necessárias para uma resposta oportuna. O Kaspersky Endpoint Detection and Response exibe os detalhes de alertas e uma janela separada. Destalhes de alertas é uma ferramenta para visualizar todas as informações coletadas sobre uma ameaça detectada. Os detalhes da alertas incluem, por exemplo, o histórico de arquivos aparentes no computador. Para obter detalhes sobre o gerenciamento dos detalhes de alertas, consulte a Ajuda do Kaspersky Endpoint Detection and Response Optimum e a Ajuda do Kaspersky Endpoint Detection and Response Expert.
É possível configurar o componente EDR Optimum no Web Console e Cloud Console. As configurações de componentes para o EDR Expert estão disponíveis somente no Cloud Console.
Configurações do Endpoint Detection and Response
Parâmetro |
Descrição |
---|---|
Isolamento de rede |
Isolamento automático do computador da rede em resposta às ameaças detectadas. Quando o isolamento de rede é ativado, o aplicativo corta todas as conexões ativas e bloqueia todas as novas conexões TCP/IP no computador. O aplicativo deixa apenas as seguintes conexões ativas:
|
Desbloquear automaticamente o computador isolado em N horas |
O isolamento de rede pode ser desligado automaticamente após um tempo especificado ou manualmente. Por padrão, o Kaspersky Endpoint Security desativa o isolamento de rede 5 horas após o início do isolamento. |
Exclusões de isolamento de rede |
Lista de regras para exclusões de isolamento de rede. As conexões de rede que correspondem às regras não são bloqueadas em computadores quando o isolamento de rede é ativado. Para configurar as exclusões de isolamento de rede, é possível utilizar a lista de perfis de rede padrão. Por padrão, as exclusões incluem os perfis de rede contendo as regras que garantem a operação ininterrupta de dispositivos com funções de servidor DNS/DHCP e cliente DNS/DHCP. Também é possível modificar as configurações dos perfis de rede padrão ou definir as exclusões manualmente. As exclusões especificadas nas propriedades da política são aplicadas apenas se o isolamento de rede for ativado automaticamente em resposta a uma ameaça detectada. As exclusões especificadas nas propriedades do computador são aplicadas apenas se o isolamento de rede for ativado manualmente nas propriedades do computador no console do Kaspersky Security Center ou nos detalhes de alertas. |
Prevenção de execução |
Controle a execução de arquivos executáveis e scripts e abertura de arquivos de formato Office. Por exemplo, é possível impedir a execução de aplicativos considerados inseguros no computador selecionado. A prevenção de execução é compatível com um conjunto de extensões de arquivos do office e um conjunto de intérpretes de script. Para usar o componente de Prevenção de execução, é preciso adicionar regras de prevenção de execução. A Regra de prevenção de execução é um conjunto de critérios que o aplicativo leva em consideração ao reagir à execução de um objeto, por exemplo, ao bloquear a execução de um objeto. O aplicativo identifica os arquivos por seus caminhos ou somas de verificação calculados usando algoritmos de hash MD5 e SHA256. |
Ação na execução ou abertura de objeto proibido |
Bloquear e gravar no relatório. Neste modo, o aplicativo bloqueia a execução de objetos ou a abertura de documentos que atendam aos critérios da regra de prevenção. O aplicativo também publica um evento sobre as tentativas de execução de objetos ou documentos abertos no log de eventos do Windows e no log de eventos do Kaspersky Security Center. Criar log de eventos apenas. Neste modo, o Kaspersky Endpoint Security publica um evento sobre tentativas de execução de objetos executáveis ou documentos abertos que correspondem aos critérios da regra de prevenção no log de eventos do Windows e no Kaspersky Security Center, mas não bloqueia a tentativa de executar ou abrir o objeto ou documento. O item está selecionado por padrão. |
Cloud Sandbox |
Cloud Sandbox é uma tecnologia que permite detectar ameaças avançadas em um computador. O Kaspersky Endpoint Security encaminha automaticamente arquivos detectados para a Cloud Sandbox analisar. O Cloud Sandbox executa esses arquivos em um ambiente isolado para identificar atividades maliciosas e avaliar a sua reputação. Os dados desses arquivos são enviados para a Kaspersky Security Network. Portanto, caso o Cloud Sandbox detecte um arquivo malicioso, o Kaspersky Endpoint Security executará a ação apropriada para eliminar essa ameaça em todos os computadores em que esse arquivo for detectado. A tecnologia Cloud Sandbox está habilitada permanentemente e disponível para todos os usuários da Kaspersky Security Network, independentemente do tipo de licença em uso. Caso a caixa de seleção esteja marcada, o Kaspersky Endpoint Security habilitará o contador de ameaças detectadas usando o Cloud Sandbox na janela principal do aplicativo debaixo Tecnologias de detecção de ameaças. O Kaspersky Endpoint Security também indicará a tecnologia de detecção de ameaças Cloud Sandbox em eventos do aplicativo E no Relatório de ameaças no console do Kaspersky Security Center. |