Endpoint Detection and Response Optimum
27 de junio de 2024
ID 276062
A partir de la versión 12.1, Kaspersky Endpoint Security for Mac incluye un agente integrado para la solución Kaspersky Endpoint Detection and Response Optimum (en adelante, también “EDR Optimum”). Esta solución está diseñada para proteger la infraestructura de TI corporativa de ciberamenazas avanzadas. La funcionalidad de las soluciones combina la detección automática de amenazas con la capacidad de reaccionar ante estas para contrarrestar ataques avanzados, que incluyen nuevos exploits, ransomware, ataques sin archivos, así como tácticas que emplean herramientas legítimas del sistema. Para obtener detalles sobre esta solución, consulte la Ayuda de Kaspersky Endpoint Detection and Response Optimum.
Kaspersky Endpoint Detection and Response revisa y analiza el desarrollo de amenazas y proporciona al personal de seguridad o al administrador información sobre el posible ataque que es necesaria para responder con prontitud. Kaspersky Endpoint Detection and Response muestra los detalles de la alerta en una ventana separada. Detalles de alerta es una herramienta que permite ver toda la información que se recopiló sobre una amenaza detectada. Por ejemplo, Detalles de alerta incluye el historial de archivos que aparecen en el equipo. Para obtener más información sobre la administración de los detalles de las alertas, consulte la Ayuda de Kaspersky Endpoint Detection and Response Optimum.
Nota: Puede configurar el componente EDR Optimum en Web Console y Cloud Console.
Configuración de Endpoint Detection and Response
Parámetro | Descripción |
|---|---|
Aislamiento de la red | Aislamiento automático del equipo de la red en respuesta a amenazas detectadas. Cuando el aislamiento de la red está activado, la aplicación corta todas las conexiones activas y bloquea todas las conexiones nuevas de TCP/IP del equipo. La aplicación solo deja activas las siguientes conexiones:
|
Desbloquear automáticamente el equipo aislado en N horas | Aislamiento de la red se puede desactivar de forma automática después de un tiempo especificado o manualmente. De manera predeterminada, Kaspersky Endpoint Security desactiva Aislamiento de la red 8 horas después del inicio del aislamiento. |
Exclusiones del aislamiento de la red | Lista de reglas para las exclusiones del aislamiento de la red. Las conexiones de red que coinciden con las reglas no se bloquean en los equipos cuando el aislamiento de la red está activado. Para configurar las exclusiones del aislamiento de la red, puede usar una lista de perfiles de red estándar. De manera predeterminada, las exclusiones incluyen perfiles de red con reglas que garantizan el funcionamiento ininterrumpido de los dispositivos con el servidor DNS/DHCP y los roles de cliente DNS/DHCP. También puede modificar la configuración de los perfiles de red estándar o definir exclusiones manualmente. Importante: Las exclusiones especificadas en las propiedades de la directiva se aplican solo si Aislamiento de la red se activa automáticamente en respuesta a una amenaza detectada. Las exclusiones especificadas en las propiedades del equipo se aplican solo si Aislamiento de la red se activa manualmente en las propiedades del equipo en la consola de Kaspersky Security Center o en los detalles de la alerta. |
Prevención de ejecución | Prevención de ejecución permite administrar el funcionamiento de archivos ejecutables y scripts, así como abrir archivos en formato Office. De esta manera, puede, por ejemplo, evitar la ejecución de aplicaciones que no considere seguras. Como resultado, se puede detener la propagación de la amenaza. Prevención de ejecución admite un conjunto de intérpretes de scripts. Para usar el componente Prevención de ejecución, debe agregar reglas de prevención de ejecución. La regla de Prevención de ejecución es un conjunto de criterios que la aplicación tiene en cuenta para reaccionar frente a la ejecución de un objeto, por ejemplo, cuando bloquea el funcionamiento de un objeto. La aplicación identifica archivos por las rutas o sumas de control que se calculan mediante algoritmos hash MD5 y SHA256. |
Acción ante operaciones de ejecución o apertura de un objeto prohibido | Bloquear y escribir en el informe. En este modo, la aplicación bloquea la ejecución de objetos o la apertura de documentos que coinciden con los criterios de la regla de prevención. La aplicación también publica un evento sobre los intentos de ejecutar objetos o abrir documentos en el registro de eventos de Kaspersky Security Center. Registrar solo eventos. En este modo, Kaspersky Endpoint Security publica un evento sobre los intentos de iniciar objetos ejecutables o abrir documentos que coinciden con los criterios de la regla de prevención en el registro de eventos de Kaspersky Security Center, pero no bloquea el intento de ejecutar o abrir el objeto o documento. Este modo está seleccionado de manera predeterminada. |
Cloud Sandbox | Cloud Sandbox es una tecnología que le permite detectar amenazas avanzadas en una computadora. Kaspersky Endpoint Security reenvía automáticamente los archivos detectados a Cloud Sandbox para su análisis. Cloud Sandbox ejecuta estos archivos en un entorno aislado para identificar la actividad maliciosa y determinar su reputación. Los datos de estos archivos se envían a Kaspersky Security Network. Por lo tanto, si Cloud Sandbox detecta un archivo malicioso, Kaspersky Endpoint Security realizará la acción adecuada para eliminar esta amenaza en todos los equipos donde se detecte el archivo. Nota: La tecnología Cloud Sandbox siempre está activada y disponible para todos los usuarios de Kaspersky Security Network, independientemente del tipo de licencia que usen. |