Endpoint Detection and Response

Kaspersky Endpoint Security 11.7.0 đã có một tác nhân tích hợp cho giải pháp Kaspersky Endpoint Detection and Response Optimum (sau đây gọi là "EDR Optimum"). Kaspersky Endpoint Security 11.8.0 đã có một tác nhân tích hợp cho giải pháp Kaspersky Endpoint Detection and Response Expert (sau đây gọi là "EDR Expert"). Kaspersky Endpoint Detection and Response là một loạt các giải pháp để bảo vệ cơ sở hạ tầng CNTT của doanh nghiệp trước các mối đe dọa mạng nâng cao. Chức năng của các giải pháp này kết hợp tính năng tự động phát hiện các mối đe dọa với khả năng phản ứng trước các mối đe dọa này để chống lại các cuộc tấn công nâng cao, bao gồm các cuộc tấn công khai thác mới, phần mềm tống tiền, các cuộc tấn công không dùng tập tin, cũng như các phương pháp sử dụng các công cụ hệ thống hợp pháp. EDR Expert cung cấp nhiều chức năng giám sát và phản ứng trước mối đe dọa hơn EDR Optimum. Để biết chi tiết về các giải pháp, hãy xem Trợ giúp của Kaspersky Endpoint Detection and Response Optimum và Trợ giúp của Kaspersky Endpoint Detection and Response Expert.

Kaspersky Endpoint Detection and Response sẽ đánh giá và phân tích sự phát triển của mối đe dọa và cung cấp cho nhân viên an ninh hoặc Quản trị viên thông tin về cuộc tấn công tiềm ẩn cần thiết để có phản ứng kịp thời. Kaspersky Endpoint Detection and Response sẽ hiển thị thông tin chi tiết về việc phát hiện trong một cửa sổ riêng. Chi tiết về phát hiện là một công cụ để xem toàn bộ thông tin thu thập được về một mối đe dọa được phát hiện. Chi tiết về phát hiện bao gồm, ví dụ như lịch sử của các tập tin xuất hiện trên máy tính. Để biết chi tiết về việc quản lý thông tin chi tiết về phát hiện, hãy tham khảo Trợ giúp của Kaspersky Endpoint Detection and Response Optimum và Trợ giúp của Kaspersky Endpoint Detection and Response Expert.

Bạn có thể cấu hình thành phần EDR Optimum trong Bảng điều khiển web và Bảng điều khiển đám mây. Thiết lập thành phần cho EDR Expert chỉ khả dụng trong Bảng điều khiển đám mây.

Thiết lập Endpoint Detection and Response

Tham số	Mô tả
Network isolation	Tự động cách ly máy tính khỏi mạng để đối phó với các mối đe dọa được phát hiện. Khi bật chế độ cách ly mạng, ứng dụng sẽ cắt tất cả các kết nối đang hoạt động và chặn tất cả các kết nối TCP/IP mới trên máy tính. Ứng dụng chỉ để lại các kết nối sau hoạt động: Các kết nối được liệt kê trong loại trừ Cách ly mạng. Các kết nối được khởi tạo bởi các dịch vụ Kaspersky Endpoint Security. Các kết nối do Trình khách quản trị Kaspersky Security Center.
Automatically unlock isolated computer in N giờ	Tính năng cách ly mạng có thể được tắt tự động sau một thời gian nhất định hoặc theo cách thủ công. Theo mặc định, Kaspersky Endpoint Security sẽ tắt chế độ Cách ly mạng 5 giờ sau khi bắt đầu cách ly.
Network isolation exclusions	Danh sách các quy tắc loại trừ khỏi cách ly mạng. Các kết nối mạng phù hợp với quy tắc không bị chặn trên máy tính khi chế độ Cách ly mạng được bật. Để cấu hình các loại trừ Cách ly mạng, bạn có thể sử dụng một danh sách các cấu hình mạng tiêu chuẩn. Theo mặc định, các loại trừ bao gồm các cấu hình mạng chứa các quy tắc đảm bảo hoạt động không bị gián đoạn của các thiết bị có máy chủ DNS/DHCP và các vai trò máy khách DNS/DHCP. Bạn cũng có thể sửa đổi thiết lập của các cấu hình mạng tiêu chuẩn hoặc định nghĩa các loại trừ theo cách thủ công. Các loại trừ được chỉ định trong thuộc tính chính sách chỉ được áp dụng nếu chế độ Cách ly mạng được bật tự động để ứng phó với mối đe dọa được phát hiện. Các loại trừ được chỉ định trong các thuộc tính máy tính chỉ được áp dụng nếu chế độ Cách ly mạng được bật theo cách thủ công trong các thuộc tính máy tính, trong bảng điều khiển của Kaspersky Security Center hoặc trong chi tiết về cảnh báo.
Execution prevention	Kiểm soát việc thực thi các tập tin và tập lệnh thực thi và mở các tập tin định dạng văn phòng. Ví dụ: bạn có thể ngăn việc thực thi các ứng dụng được coi là không bảo mật trên máy tính đã chọn. Phòng chống thực thi hỗ trợ một tập hợp các phần mở rộng tập tin văn phòng và một tập hợp các trình thông dịch tập lệnh. Để sử dụng thành phần Phòng chống thực thi, bạn cần thêm các quy tắc phòng chống thực thi. Quy tắc phòng chống thực thi là một tập hợp các tiêu chí mà ứng dụng xem xét khi phản ứng với hoạt động thực thi đối tượng, ví dụ khi chặn thực thi đối tượng. Ứng dụng xác định các tập tin bằng đường dẫn hoặc giá trị tổng kiểm của chúng được tính bằng thuật toán băm MD5 và SHA256.
Action on execution or opening of forbidden object	Block and write to report. Trong chế độ này, ứng dụng chặn việc thực thi các đối tượng hoặc mở các tài liệu đáp ứng với tiêu chí quy tắc ngăn chặn. Ứng dụng cũng phát hành một sự kiện về nỗ lực thực thi các đối tượng hoặc mở tài liệu vào nhật ký sự kiện Windows và nhật ký sự kiện của Kaspersky Security Center. Log events only. Trong chế độ này, Kaspersky Endpoint Security sẽ phát hành một sự kiện về nỗ lực chạy các đối tượng thực thi hoặc mở tài liệu đáp ứng với tiêu chí quy tắc ngăn chặn vào nhật ký sự kiện Windows và Kaspersky Security Center, nhưng không chặn nỗ lực chạy hoặc mở đối tượng hoặc tài liệu. Chế độ này được chọn theo mặc định.
Cloud Sandbox	Cloud Sandbox là công nghệ cho phép bạn phát hiện các mối đe dọa nâng cao trên máy tính. Kaspersky Endpoint Security sẽ tự động chuyển tiếp các tập tin đáng ngờ tới Cloud Sandbox để phân tích. Cloud Sandbox sẽ chạy các tập tin này trong một môi trường cách ly để xác định hoạt động độc hại và quyết định danh tiếng của chúng. Sau đó, dữ liệu về các tập tin này sẽ được gửi đến Kaspersky Security Network. Do đó, nếu Cloud Sandbox đã phát hiện ra tập tin độc hại thì Kaspersky Endpoint Security sẽ thực hiện hành động thích hợp để loại bỏ mối đe dọa này trên tất cả các máy tính nơi tập tin này được phát hiện. Công nghệ Cloud Sandbox được bật vĩnh viễn và khả dụng cho tất cả người dùng Kaspersky Security Network bất kể họ đang sử dụng loại giấy phép nào. Nếu hộp kiểm này được chọn, Kaspersky Endpoint Security sẽ bật bộ đếm các mối đe dọa được phát hiện bằng Cloud Sandbox trong cửa sổ chính của ứng dụng trong Công nghệ phát hiện mối đe dọa. Kaspersky Endpoint Security cũng sẽ chỉ báo công nghệ phát hiện mối đe dọa Cloud Sandbox trong các sự kiện ứng dụng và trong Report on threats trong bảng điều khiển Kaspersky Security Center.

Về đầu trang