Endpoint Detection and Response

A partir de la versión 11.7.0, Kaspersky Endpoint Security para Windows incluye un agente incorporado para la solución Kaspersky Endpoint Detection and Response Optimum (en lo sucesivo, también denominada "EDR Optimum"). A partir de la versión 11.8.0, Kaspersky Endpoint Security para Windows incluye un agente incorporado para la solución Kaspersky Endpoint Detection and Response Expert (en lo sucesivo, también denominada "EDR Expert"). Kaspersky Endpoint Detection and Response es una variedad de soluciones para proteger la infraestructura de TI corporativa de las amenazas cibernéticas avanzadas. Las funcionalidades de las soluciones combinan la detección automática de las amenazas con la capacidad para reaccionar a estas amenazas para contrarrestar los ataques avanzados, incluidos nuevos exploits, ransomware y ataques sin archivos, así como métodos que utilizan herramientas legítimas del sistema. EDR Expert ofrece más funcionalidades de supervisión y respuesta antes las amenazas que EDR Optimum. Para obtener más información sobre las soluciones, consulte la Ayuda de Kaspersky Endpoint Detection and Response Optimum y la Ayuda de Kaspersky Endpoint Detection and Response Expert.

Kaspersky Endpoint Detection and Response revisa y analiza el desarrollo de las amenazas y proporciona al personal de seguridad o al Administrador la información sobre el posible ataque necesaria para una respuesta oportuna. Kaspersky Endpoint Detection and Response muestra los detalles de la alerta en una ventana independiente. Detalles de la alerta es una herramienta para ver la totalidad de la información recopilada sobre una amenaza detectada. Los detalles de la alerta incluyen, por ejemplo, el historial de archivos que aparecen en el equipo. Para obtener más información sobre la administración de los detalles de la alerta, consulte la Ayuda de Kaspersky Endpoint Detection and Response Optimum y la Ayuda de Kaspersky Endpoint Detection and Response Expert.

Puede configurar el componente para EDR Optimum en Web Console y Cloud Console. La configuración del componente para EDR Expert está disponible solo en Cloud Console.

Configuración de Endpoint Detection and Response

Parámetro

Descripción

Aislamiento de la red

Aislamiento automático del equipo de la red en respuesta a las amenazas detectadas.

Cuando el aislamiento de la red está activado, la aplicación corta todas las conexiones activas y bloquea todas las conexiones TCP/IP nuevas en el equipo. La aplicación deja solo las siguientes conexiones activas:

  • Conexiones enumeradas en Exclusiones de aislamiento de la red.
  • Conexiones iniciadas por los servicios de Kaspersky Endpoint Security.
  • Conexiones iniciadas por el Agente de red de Kaspersky Security Center.

Desbloquear automáticamente el equipo aislado en N hours

El aislamiento de la red se puede desactivar automáticamente después de un tiempo especificado o manualmente. De forma predeterminada, Kaspersky Endpoint Security desactiva el aislamiento de la red 5 horas después del inicio del aislamiento.

Exclusiones de aislamiento de la red

Lista de reglas para las exclusiones del aislamiento de la red. Las conexiones de red que coinciden con las reglas no se bloquean en los equipos cuando el aislamiento de la red está activado.

Para configurar las exclusiones de aislamiento de la red, puede utilizar una lista de perfiles de la red estándar. De forma predeterminada, las exclusiones incluyen perfiles de red que contienen reglas que garantizan el funcionamiento ininterrumpido de los dispositivos con el servidor DNS/DHCP y los roles del cliente DNS/DHCP. También puede modificar la configuración de los perfiles de la red estándar o definir las exclusiones manualmente.

Las exclusiones especificadas en las propiedades de la directiva se aplican solo si el aislamiento de la red se activa automáticamente en respuesta a una amenaza detectada. Las exclusiones especificadas en las propiedades del equipo se aplican solo si el aislamiento de la red se activa manualmente en las propiedades del equipo en la consola de Kaspersky Security Center o en los detalles de la alerta.

Prevención de ejecución

Controle la ejecución de los archivos ejecutables y scripts y la apertura de archivos en formato de Office. Por ejemplo, puede evitar la ejecución de aplicaciones que se consideran inseguras en el equipo seleccionado. La prevención de la ejecución es compatible con un conjunto de extensiones de archivos de Office y un conjunto de intérpretes de script.

Para usar el componente Prevención de ejecución, debe agregar reglas de prevención de ejecución. La opción Regla de prevención de ejecución es un conjunto de criterios que la aplicación tiene en cuenta al reaccionar a la ejecución de un objeto, por ejemplo, al bloquear la ejecución de un objeto. La aplicación identifica archivos por sus rutas o sumas de comprobación calculadas mediante los algoritmos hash MD5 y SHA256.

Acción ante operaciones de ejecución o apertura de un objeto prohibido

Bloquear y escribir en el informe. En este modo, la aplicación bloquea la ejecución de objetos o la apertura de documentos que coinciden con los criterios de la regla de prevención. La aplicación también publica un evento sobre los intentos de ejecutar objetos o abrir documentos en el registro de eventos de Windows y en el de Kaspersky Security Center.

Registrar solo eventos. En este modo, Kaspersky Endpoint Security publica un evento sobre los intentos de ejecutar objetos ejecutables o abrir documentos que coinciden con los criterios de la regla de prevención en el registro de eventos de Windows y Kaspersky Security Center, pero no bloquea el intento de ejecutar o abrir el objeto o documento. Este modo está seleccionado de forma predeterminada.

Cloud Sandbox

Cloud Sandbox es una tecnología que le permite detectar amenazas avanzadas en un equipo. Kaspersky Endpoint Security reenvía automáticamente los archivos detectados a Cloud Sandbox para su análisis. Cloud Sandbox ejecuta estos archivos en un entorno aislado para identificar actividades maliciosas y decide sobre su reputación. Luego, los datos de estos archivos se envían a Kaspersky Security Network. Por lo tanto, si Cloud Sandbox detectó un archivo malicioso, Kaspersky Endpoint Security realiza la acción adecuada para eliminar esta amenaza en todos los equipos donde se detecte este archivo.

La tecnología Cloud Sandbox está habilitada de forma permanente y está disponible para todos los usuarios de Kaspersky Security Network, independientemente del tipo de licencia que utilicen.

Si esta casilla de verificación está seleccionada, Kaspersky Endpoint Security activará el contador de amenazas detectadas mediante Cloud Sandbox en la ventana principal de la aplicación, en Tecnologías de detección de amenazas. Kaspersky Endpoint Security también indicará la tecnología de detección de amenazas Cloud Sandbox en los eventos de la aplicación y en el Informe de amenazas en la consola de Kaspersky Security Center.

Inicio de página