В решении Kaspersky Security для виртуальных сред 6.4 Легкий агент появились следующие возможности и доработки:
Реализована возможность взаимодействия Сервера интеграции на базе Linux с Kaspersky Security Center. Сервер интеграции на базе Linux может передавать события, происходящие во время его работы, и информацию о его состоянии на Сервер администрирования Kaspersky Security Center. Вы можете настроить экспорт событий из Kaspersky Security Center во внешние SIEM-системы (см. подробнее в справке Kaspersky Security Center). Если решение используется по лицензии Enterprise, Сервер интеграции может регистрировать расширенный набор событий.
В качестве Легкого агента для Windows в составе решения используется приложение Kaspersky Endpoint Security для Windows версии 12.12. В новой версии приложения появились следующие возможности и доработки:
Функция защиты папок общего доступа от внешнего шифрования, которая входила в состав компонента Анализ поведения, выделена в отдельный компонент Защита от шифрования.
Добавлена поддержка протокола Kerberos для аутентификации приложения через прокси-сервер для доступа в интернет.
Добавлена возможность указывать хеш файла для доверенного приложения, а не только полный путь.
Для пользователей решений Endpoint Detection and Response расширены возможности задачи Поиск IOC. Добавлена функция ретроспективного поиска IOC. Ретроспективный поиск IOC – это режим работы задачи Поиск IOC, при котором Kaspersky Endpoint Security для Windows выполняет поиск индикаторов компрометации по данным, полученным за определенный интервал времени. Режим предназначен для поиска индикаторов компрометации по данным сетевой активности устройства. Kaspersky Endpoint Security для Windows анализирует данные в журналах операционной системы и браузеров на устройстве.
Для пользователей решений Endpoint Detection and Response добавлена возможность снять ограничение на размер карантина. Это может понадобится при YARA-проверке, так как приложение может сохранять дамп памяти большого размера. Теперь вы можете использовать все свободное пространства диска для карантина.
Добавлена поддержка HTTPS-сжатия для оптимизации отправки событий в Kaspersky Unified Monitoring and Analysis Platform (KUMA). Это позволяет уменьшить исходящий трафик.
В качестве Легкого агента для Linux в составе решения используется приложение Kaspersky Endpoint Security для Linux версии 12.4. В новой версии приложения появились следующие возможности и доработки:
Расширены возможности приложения при использовании в режиме Легкого агента:
Доступен механизм перехвата системных событий на основе обновляемого модуля ядра. Использование обновляемого модуля ядра позволяет оптимизировать перехват файловых операций и перехват запуска процессов приложением Kaspersky Endpoint Security для Linux.
Доступен функциональный компонент Защита от эксплойтов.
Повышен уровень обнаружения угроз.
Добавлен новый компонент Защита от почтовых угроз. Компонент проверяет вложения входящих и исходящих сообщений электронной почты на наличие в них вирусов и других приложений, представляющих угрозу.
Добавлен новый компонент Защита от атак BadUSB. Компонент позволяет предотвратить подключение к защищаемому устройству зараженных USB-устройств, имитирующих клавиатуру.
Доработан компонент Контроль устройств. Добавлена возможность предоставить по запросу пользователя временный доступ к заблокированным устройствам.
Доработан компонент Защита от эксплойтов. Добавлена возможность настраивать исключения объектов из проверки компонентом.
Доработан обновляемый модуль ядра:
Теперь обновляемый модуль ядра позволяет оптимизировать перехват файловых операций. Производительность приложения увеличивается за счет использования кеша файлов и процессов, не нуждающихся в проверке.
Теперь при использовании обновляемого модуля ядра вы можете более точно настраивать глобальные исключения. Если используется механизм перехвата на основе технологии fanotify, из перехвата файловых операций исключаются указанные точки монтирования целиком. Использование обновляемого модуля ядра позволяет исключать конкретные локальные или удаленные директории, смонтированные на устройстве.
Реализована возможность интеграции с Kaspersky Endpoint Detection and Response Expert (on-premise) – решением для кибербезопасности бизнеса, позволяющим защититься от большинства киберрисков и покрыть основные сценарии распространения угроз.
Добавлена возможность создавать файлы трассировки приложения при первом запуске после его установки. Теперь вы можете включить создание файлов трассировки при первом запуске приложения в Web Console, в Консоли администрирования или в параметрах конфигурационного файла первоначальной настройки.
Обновлен интерфейс политики в Web Console. Изменилась структура разделов в политике, чтобы быстрее находить нужные функции.
Добавлена возможность выбрать режим перехвата трафика, который приложение использует в своей работе: использование технологии eBPF или использование утилиты iptables.
Добавлена возможность выбрать источник телеметрии (только eBPF или eBPF и auditd). Для auditd вы также можете выбрать режим работы (монопольный режим или режим многоадресной рассылки).
Реализована возможность выбрать режим отправки файлов и директорий на проверку в Sandbox: вручную, только автоматический, автоматический и ручной.
Доработан альтернативный механизм получения системной телеметрии в компоненте Анализ поведения на 64-битных операционных системах с версией ядра 4.18 и выше с поддержкой eBPF, который позволяет освободить ресурсы подсистемы аудита ядра auditd.
Добавлена возможность включать в данные телеметрии при интеграции с Kaspersky Managed Detection and Response следующую информацию: