Интеграция с Kaspersky Endpoint Detection and Response Optimum

Kaspersky Endpoint Detection and Response Optimum – решение, предназначенное для защиты ИТ-инфраструктуры организации от таких угроз, как эксплойты (англ. exploits), программы-вымогатели (англ. ransomware), бесфайловые атаки (англ. fileless attacks) и использование злоумышленниками законных системных инструментов для нанесения вреда устройствам или данным.

Kaspersky Endpoint Detection and Response Optimum выполняет мониторинг и анализ развития угрозы, а также предоставляет сотруднику службы безопасности или администратору информацию о потенциальной атаке, необходимую для принятия своевременных действий по реагированию.

Kaspersky Endpoint Detection and Response Optimum использует следующие средства анализа угроз (Threat Intelligence):

Инфраструктура облачных служб Kaspersky Security Network (далее также KSN), предоставляющая доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-сайтов и программного обеспечения.
Интеграция с порталом Kaspersky Threat Intelligence Portal, который содержит и отображает информацию о репутации файлов и веб-сайтов.
База угроз "Лаборатории Касперского" Kaspersky Threats.

Приложение Kaspersky Endpoint Security 12.3 для Linux совместимо с решением Kaspersky Endpoint Detection and Response Optimum версии 3.1.

При взаимодействии с Kaspersky Endpoint Detection and Response Optimum приложение Kaspersky Endpoint Security может выполнять следующие функции:

Отправлять в Kaspersky Security Center данные о событиях на устройствах. Приложение Kaspersky Endpoint Security передает в Kaspersky Security Center данные наблюдения за процессами, открытыми сетевыми соединениями и изменяемыми файлами, а также данные об угрозах, обнаруженных приложением, и данные о результатах обработки этих угроз.
Выполнять ответные действия, направленные на обеспечение функций безопасности, по командам, полученным от Kaspersky Security Center.

Интеграцию приложения Kaspersky Endpoint Security с решением Kaspersky Endpoint Detection and Response Optimum обеспечивает компонент приложения Kaspersky Endpoint Security – Endpoint Detection and Response Optimum (далее также EDR Optimum).

Чтобы использовать функциональность Kaspersky Endpoint Detection and Response Optimum, вам нужно активировать компонент EDR Optimum. Если основная лицензия, по которой вы используете приложение Kaspersky Endpoint Security, не включает функциональность Kaspersky Endpoint Detection and Response Optimum, вам нужно приобрести отдельную лицензию для этой функциональности и добавить в приложение лицензионный ключ EDR Optimum.

Если приложение Kaspersky Endpoint Security используется в режиме Легкого агента для защиты виртуальных сред, активация выполняется на стороне Сервера защиты (компонента решения Kaspersky Security для виртуальных сред Легкий агент) путем добавления лицензионных ключей на SVM.

Интеграция с Kaspersky Endpoint Detection and Response Optimum состоит из следующих этапов:

Включение необходимых компонентов Kaspersky Endpoint Security
Убедитесь, что включены и работают следующие компоненты приложения Kaspersky Endpoint Security:
Вы также можете включить запрет запуска объектов.
Включение средств анализа угроз
Убедитесь, что включен Kaspersky Security Network в стандартном или расширенном режиме.

Для наиболее эффективной работы Kaspersky Endpoint Detection and Response Optimum рекомендуется использовать Kaspersky Security Network в расширенном режиме.
Активация компонента EDR Optimum
Убедитесь, что соблюдено одно из следующих условий:
- Вы используете приложение Kaspersky Endpoint Security по лицензии, которая включает в себя функциональность Kaspersky Endpoint Detection and Response Optimum.
- Вы приобрели отдельную лицензию на использование функциональности Kaspersky Endpoint Detection and Response Optimum и добавили в приложение лицензионный ключ EDR Optimum.
  Если приложение Kaspersky Endpoint Security используется в режиме Легкого агента для защиты виртуальных сред, лицензионный ключ для активации дополнительной функциональности добавляется на SVM.
Установка плагина управления Kaspersky Endpoint Detection and Response Optimum
Плагин управления Kaspersky Endpoint Detection and Response Optimum является единым плагином для работы с агентами на операционных системах Windows, Mac и Linux и требуется для отображения и просмотра деталей алертов.
Включение компонента EDR Optimum
По умолчанию компонент EDR Optimum выключен. Вы можете включать и выключать компонент, а также настраивать параметры интеграции:
- с помощью Web Console;
- с помощью командной строки.
  Управление компонентом EDR Optimum с помощью Консоли администрирования Kaspersky Security Center не поддерживается.
Вы можете проверить статус работы компонента EDR Optimum:
- C помощью Отчета о статусе компонентов приложения в Web Console.
  В список компонентов Kaspersky Endpoint Security добавлен компонент Endpoint Detection and Response Optimum. Подробную информацию о работе с отчетами см. в справке Kaspersky Security Center.
- В свойствах устройства в Web Console.
- С помощью командной строки.
Включение передачи данных на Сервер администрирования
Для использования всех возможностей Kaspersky Endpoint Detection and Response Optimum вам нужно настроить следующие параметры:
- Включить отправку в хранилище Kaspersky Security Center информации о файлах в резервном хранилище и на карантине. Для этого вам нужно в свойствах политики установить флажки:
  - О файлах резервного хранилища.
  - О файлах карантина.
- Разрешить отображение списка алертов. Для этого вам нужно включить переключатель Показать EDR-алерты в главном окне Web Console в разделе Параметры → Параметры интерфейса.
  Параметр Показать EDR-алерты отсутствует в Web Console версии ниже 15.1.

В этом разделе

Включение и выключение интеграции с Kaspersky Endpoint Detection and Response Optimum

Просмотр статуса интеграции с Kaspersky Endpoint Detection and Response Optimum

Просмотр информации об обнаруженной угрозе и действиях по реагированию

В начало