從版本 11.7.0 開始,Kaspersky Endpoint Security for Windows 包括 Kaspersky Endpoint Detection and Response Optimum 解決方案(以下也稱為 “EDR Optimum”)的內建代理。從版本 11.8.0 開始,Kaspersky Endpoint Security for Windows 包括 Kaspersky Endpoint Detection and Response 解決方案(以下也稱為 “EDR Expert”)的內建代理。Kaspersky Endpoint Detection and Response 是用於防護組織的 IT 基礎架構抵禦進階網路威脅的一系列解決方案。解決方案的功能結合了自動偵測威脅和回應這些威脅的能力,以抵消包括新漏洞、勒索軟體、無檔案攻擊以及使用合法系統工具的方法。EDR Expert 比 EDR Optimum 提供更多的威脅監控和回應功能。有關解決方案的詳細資訊,請參閱 Kaspersky Endpoint Detection and Response Optimum 說明 與 Kaspersky Endpoint Detection and Response Expert 說明。
Kaspersky Endpoint Detection and Response 會審查和分析威脅發展並向安全人員或者管理員提供有關需要作出及時回應的潛在攻擊的資訊。Kaspersky Endpoint Detection and Response 會在單獨視窗中顯示偵測詳情。警示 是企業 IT 基礎架構中的事件,應用程式已將其識別為異常或可疑,可能對企業 IT 基礎架構構成安全威脅。偵測詳情是一款用來檢視有關被偵測的威脅的整個收集資訊的工具。偵測詳情包括,例如,出現在電腦上的檔案的歷史。有關偵測詳情的詳細資訊,請參閱 Kaspersky Endpoint Detection and Response Optimum 說明 與 Kaspersky Endpoint Detection and Response Expert 說明。
您可以在網頁主控台和雲端主控台中配置 EDR Optimum 元件。適用於 EDR Expert 的元件設定僅在雲端主控台中可以使用。
Endpoint Detection and Response 設定
參數 |
描述 |
---|---|
網路隔離 |
回應偵測到的威脅自動將電腦從網路中隔離。 當開啟網路隔離時,應用程式會斷開電腦上的所有活動連線並封鎖所有新的 TCP/IP 連線。應用程式只會讓以下連線處於活動狀態:
|
距離自動解鎖隔離電腦還有 N 小時後 |
指定時間後可以自動或者手動關閉網路隔離。預設情況下,Kaspersky Endpoint Security 會在隔離啟動 5 小時後關閉網路隔離。 |
網路隔離排除項目 |
從網路隔離中排除的規則清單當開啟網路隔離時,電腦上匹配規則的網路連線不會被封鎖。 要配置網路隔離排除項目,您可以使用“標準網路設定檔”清單。預設情況下,排除項目包括包含確保裝置(具有 DNS/DHCP 伺服器和 DNS/DHCP 用戶端角色)不中斷操作的規則的網路設定檔。您也可以修改標準網路設定檔的設定或者手動定義排除項目。 只有當網路隔離回應偵測到的威脅自動開啟時,政策內容中指定的排除項目才會套用。只有當網路隔離在卡巴斯基安全管理中心主控台的電腦內容或者警示詳情中手動開啟時,電腦內容中指定的排除項目才會套用。 |
執行防止 |
控制可執行檔和指令碼的執行以及 Office 格式檔案的開啟。例如,您可以防止執行在選取電腦上被認為不安全的應用程式。執行防護支援Office 檔案延伸程式集合和指令碼解譯器集合。 所要使用執行防護元件,您需要新增執行防護規則。執行防護規則是應用程式對物件執行進行回應(例如,封鎖物件執行時)時考慮的一組條件。應用程式根據檔案路徑或者使用 MD5 和 SHA256 雜湊演算法計算的總和檢查碼來識別檔案。 |
執行或開啟被禁止的物件時的動作 |
封鎖和寫入報告在此模式中,應用程式會封鎖執行物件或者開啟匹配防護規則條件的文件。應用程式也會將嘗試執行物件或者開啟文件的事件發佈到 Windows 事件記錄和卡巴斯基安全管理中心事件記錄。 僅記錄在此模式中,Kaspersky Endpoint Security 會將嘗試執行可執行物件或者開啟匹配防護規則條件的文件的事件發佈到 Windows 事件記錄和卡巴斯基安全管理中心,但是不會封鎖執行或者開啟物件或者文件的嘗試。預設情況下已選擇此模式。 |
Cloud Sandbox |
Cloud Sandbox 技術可讓您偵測電腦上的進階威脅。Kaspersky Endpoint Security 自動將被偵測檔案轉寄到 Cloud Sandbox 進行分析。Cloud Sandbox 在隔離環境中執行這些檔案以識別惡意活動和決定其信譽。有關這些檔案的資料然後被傳送到卡巴斯基安全網路。因此,如果 Cloud Sandbox 偵測到一個惡意檔案,Kaspersky Endpoint Security 將執行適當操作在偵測到該檔案的所有電腦上消除該威脅。 Cloud Sandbox 技術永久啟用,對所有卡巴斯基安全網路使用者可用,與他們使用的產品授權類型無關。 如果選擇該核取方塊,Kaspersky Endpoint Security 將在 威脅偵測技術 下的應用程式主視窗中啟用使用 Cloud Sandbox 偵測到的威脅的計數器。Kaspersky Endpoint Security 也會在應用程式事件中和在卡巴斯基安全管理中心主控台的威脅報告中指明 Cloud Sandbox 威偵測技術。 |