Endpoint Detection and Response Expert (on-premise)
|
Kaspersky Endpoint Security voor Windows ondersteunt integratie met de Kaspersky Endpoint Detection and Response Expert (on-premise)-oplossingen. Kaspersky Endpoint Detection and Response Expert (on premise) is een enterprise-cyberbeveiligingsoplossing die Kaspersky-programma's bevat waarmee een organisatie zich kan verdedigen tegen de meeste soorten cyberrisico's en die de belangrijkste scenario's voor de verspreiding van dreigingen dekt. Onderdelen van EDR Expert (on-premise) worden geïmplementeerd op het Open Single Management Platform (OSMP). Dit platform voert cross-platformscenario's uit in één enkele interface en maakt het mogelijk om Kaspersky-programma’s te integreren met programma’s van derden in een uitgebreid beveiligingssysteem. Een van de centrale elementen van de oplossing is: SIEM. SIEM houdt gebeurtenissen bij die afkomstig zijn van alle onderdelen en correleert deze gebeurtenissen met elkaar met behulp van door de leverancier en door de gebruiker gedefinieerde regels. EDR Expert (on-premise) bekijkt logboeken en telemetriegegevens die worden ontvangen van de bedrijfsinfrastructuur om aanvallen automatisch te detecteren en maakt het onderzoek van incidenten mogelijk met behulp van een uniforme onderzoeksgrafiek die alle gebeurtenissen combineert die in EDR Expert (on-premises) zijn verzameld, inclusief gebeurtenissen van Kaspersky-programma's en informatiebeveiligingsproducten van derden. Voor de reactie op geavanceerde incidenten gebruikt EDR Expert (on-premise) vooraf ingestelde en door de gebruiker gedefinieerde scenario's. U kunt ook responsacties van programma's van derden en responsscenario's waarbij meerdere programma's zijn betrokken, gebruiken. |
Tools voor dreigingsinformatie
Kaspersky Endpoint Detection and Response gebruikt de volgende tools voor informatie over dreigingen:
- De integratie met Kaspersky Threat Intelligence Portal dat informatie over de reputatie van bestanden en webadressen bevat en toont.
- Kaspersky Threats-database.
- De Kaspersky Security Network-cloudservice (hierna ook 'KSN' genoemd) die realtime toegang biedt tot informatie over de reputatie van bestanden, websites en software uit de Knowledge Base van Kaspersky. Het gebruik van gegevens uit Kaspersky Security Network zorgt niet alleen voor een snellere respons door Kaspersky-programma's bij dreigingen, maar verbetert ook de prestaties van bepaalde beschermingsonderdelen en verlaagt de kans op false positives.
Werkingsprincipe van de oplossing
Het programma Kaspersky Endpoint Security wordt op individuele computers op de IT-infrastructuur van het bedrijf geïnstalleerd en bewaakt continu processen, open netwerkverbindingen en bestanden die worden gewijzigd. Informatie over gebeurtenissen op de computer (telemetrie) wordt verzonden naar de EDR Expert (on-premises) server. In dit geval verzendt Kaspersky Endpoint Security ook informatie over dreigingen gevonden door het programma, evenals informatie over verwerkingsresultaten voor deze dreigingen naar de servers voor het verzamelen van telemetriegegevens.
De EDR Expert (on-premise) integratie wordt geconfigureerd op de Kaspersky Security Center-console. De ingebouwde agent wordt vervolgens beheerd met behulp van de Open Single Management Platform (OSMP), inclusief het uitvoeren van taken, het beheren van in quarantaine geplaatste objecten, het bekijken van rapporten en andere acties.
Kaspersky Endpoint Security-configuraties voor het werken met EDR Expert (on-premise)
Voor het werken met EDR Expert (on-premise) kunnen de volgende configuraties worden gebruikt:
- [KES+built-in agent]. In deze configuratie fungeert Kaspersky Endpoint Security zowel als het programma dat de veiligheid van de computer garandeert, als het programma voor het werken met EDR Expert (on-premise). De ingebouwde agent voor EDR Expert (on-premise) is beschikbaar in Kaspersky Endpoint Security 12.11 voor Windows of hoger.
- [EPP+EDR Agent van derden]. In deze configuratie wordt de beveiliging van de IT-infrastructuur verzorgd door het Endpoint Protection Platform (EPP) van derden. De interactie met EDR Expert (on-premise) wordt verzorgd door Kaspersky Endpoint Security in de configuratie Endpoint Detection and Response Agent (EDR Agent). In deze configuratie is EDR-agent compatibel met EPP-applicaties van derden. EDR-agent voor EDR Expert (on-premise) is beschikbaar in Kaspersky Endpoint Security 12.11 voor Windows of hoger.