Kaspersky Endpoint Security 12.9 for Windows 引入了对 EDR 威胁响应操作的支持 (EDR responses),使用 API。也就是说,您可以创建 Python 脚本来执行 EDR 威胁响应操作。您可以在 SIEM 解决方案中使用这些脚本。Kaspersky Unified Monitoring and Analysis Platform,卡巴斯基 SIEM 解决方案从 3.4.1 版本开始支持 EDR 威胁响应 API。有关示例脚本,请参阅 KUMA 文档。
在响应 EDR 威胁时,应用程序允许您执行以下操作:
要执行 EDR 威胁响应操作,您需要创建一个请求并使用 KSC Open API (AddIncident)发送它。处理请求后,将在 Kaspersky Security Center 控制台中创建一个特殊任务。
要在响应 EDR 威胁时创建任务,您必须在管理服务器和 Kaspersky Security Center Web Console 之间建立后台连接。后台连接服务在 Kaspersky Security Center Windows 14.2 或更高版本以及 Kaspersky Security Center Linux 15.2 中可用。不支持其他控制台,包括 Kaspersky Detection and Response 解决方案的控制台。