В Kaspersky Endpoint Security для Windows 12.9 добавлена поддержка действий по реагированию на угрозы EDR (EDR responses) с помощью API. То есть вы можете, например, создать Python-скрипты, которые позволят выполнять действия по реагированию на угрозы EDR. Вы можете использовать эти скрипты в SIEM-решениях. SIEM-решение от "Лаборатории Касперского" – Kaspersky Unified Monitoring and Analysis Platform – поддерживает API для реагирования на угрозы EDR начиная с версии 3.4.1. В справке KUMA приведены примеры скриптов.
При реагировании на угрозы EDR приложение позволяет выполнять следующие действия:
Для выполнения действий по реагированию на угрозы EDR вам нужно создать запрос и отправить его с помощью KSC Open API (AddIncident). После обработки запроса в консоли Kaspersky Security Center будет создана специальная задача.
Для создания задач при реагировании на угрозы EDR вам нужно установить фоновое соединение между Сервером администрирования и Kaspersky Security Center Web Console. Служба фонового соединения доступна в Kaspersky Security Center Windows 14.2 и выше и Kaspersky Security Center Linux 15.2. Другие консоли, включая консоли решений Detection and Response от "Лаборатории Касперского", не поддерживаются.