Endpoint Detection and Response Expert (on-premise)
|
Kaspersky Endpoint Security pro systém Windows podporuje integraci s řešením Managed Detection and Response Expert (on-premise). Kaspersky Endpoint Detection and Response Expert (on-premise) je podnikové řešení kybernetické bezpečnosti zahrnující aplikace společnosti Kaspersky, které umožňují organizaci bránit se před většinou typů kybernetických rizik a pokrývají nejdůležitější scénáře šíření hrozeb. Součásti EDR Expert (on-premise) jsou nasazeny na otevřené platformě OSMP (Open Single Management Platform). Tato platforma spouští scénáře pro různé platformy v jediném rozhraní a umožňuje integrovat aplikace Kaspersky s aplikacemi třetích stran do komplexního systému zabezpečení. Jedním z ústředních prvků řešení je SIEM. SIEM sleduje události pocházející ze všech součástí a uvádí tyto události do vzájemného vztahu pomocí pravidel definovaných dodavatelem a uživatelem. EDR Expert (on-premise) se dívá na protokoly a telemetrii přijaté z podnikové infrastruktury za účelem automatického zjišťování útoků a umožňuje vyšetřovat incidenty pomocí jednotného grafu vyšetřování, který kombinuje všechny události shromážděné v aplikaci EDR Expert (on-premise), včetně událostí z aplikací společnosti Kaspersky a produkty pro zabezpečení informací třetích stran. Pro reakci na pokročilé incidenty používá EDR Expert (on-premise) přednastavené a uživatelem definované scénáře. Můžete také použít akce odezvy z aplikací třetích stran a scénáře reakce, které zahrnují více aplikací. |
Nástroje Threat Intelligence
Kaspersky Endpoint Detection and Response používá tyto nástroje po potlačování bezpečnostních hrozeb (Threat Intelligence):
- Integrace s portálem Kaspersky Threat Intelligence Portal, který obsahuje a zobrazuje informace o reputaci souborů a adres URL.
- Databáze Kaspersky Threats.
- Infrastruktura cloudových služeb Kaspersky Security Network (dále také jen „KSN“), která poskytuje přístup k informacím o souborech, webových stránkách a reputaci softwaru v reálném čase ze znalostní báze společnosti Kaspersky. Používání dat ze služby Kaspersky Security Network zaručuje rychlejší reakci aplikací společnosti Kaspersky na nové hrozby, zvyšuje účinnost některých součástí ochrany a snižuje pravděpodobnost falešně pozitivních výsledků.
Princip fungování řešení
Aplikace Kaspersky Endpoint Security se instaluje na jednotlivé počítače v podnikové IT infrastruktuře a nepřetržitě sleduje procesy, otevřená síťová připojení a upravované soubory. Informace o událostech v počítači (telemetrie) se odesílají na server EDR Expert (on-premise). V tomto případě aplikace Kaspersky Endpoint Security také odešle informace o hrozbách objevených aplikací a také informace o výsledcích zpracování těchto hrozeb na servery pro shromažďování telemetrie.
Integrace EDR Expert (on-premise) se konfiguruje v konzole aplikace Kaspersky Security Center. Integrovaný agent je pak spravován pomocí platformy OSMP (Open Single Management Platform), včetně spouštění úloh, správy objektů v karanténě, prohlížení zpráv a dalších akcí.
Konfigurace aplikace Kaspersky Endpoint Security pro fungování s řešením EDR Expert (on-premise)
Pro fungování s řešením EDR Expert (on-premise) lze použít následující konfigurace:
- [KES+integrovaný agent]. V této konfiguraci se Kaspersky Endpoint Security chová jako aplikace, která zajišťuje zabezpečení počítače, i jako aplikace pro fungování s řešením EDR Expert (on-premise). Integrovaný agent pro EDR Expert (on-premise) je k dispozici v aplikaci Kaspersky Endpoint Security pro systém Windows 12.11 nebo novější.
- [EPP třetí strany+EDR Agent]. V této konfiguraci je zabezpečení IT infrastruktury zajištěno platformou Endpoint Protection Platform (EPP) třetí strany. Interakci s řešením EDR Expert (on-premise) zajišťuje Kaspersky Endpoint Security v konfiguraci Endpoint Detection and Response Agent (EDR Agent). V této konfiguraci je EDR Agent kompatibilní s aplikacemi EPP třetích stran. EDR Agent pro řešení EDR Expert (on-premise) je k dispozici v aplikaci Kaspersky Endpoint Security pro systém Windows 12.11 nebo novější.