Endpoint Detection and Response

14 lutego 2024

ID 214711

Począwszy od wersji 11.7.0 Kaspersky Endpoint Security for Windows zawiera wbudowanego agenta dla rozwiązania Kaspersky Endpoint Detection and Response Optimum (zwanego dalej również „EDR Optimum”). Począwszy od wersji 11.8.0 Kaspersky Endpoint Security for Windows zawiera wbudowanego agenta dla rozwiązania Kaspersky Endpoint Detection and Response Expert (zwanego dalej również „EDR Expert”). Kaspersky Endpoint Detection and Response to szereg rozwiązań do ochrony infrastruktury IT korporacji przed zaawansowanymi cyberzagrożeniami. Funkcjonalność rozwiązań łączy automatyczne wykrywanie zagrożeń z możliwością reagowania na te zagrożenia w celu przeciwdziałania zaawansowanym atakom, w tym nowym exploitom, oprogramowaniu ransomware, atakom bezplikowym, a także metodom z użyciem legalnych narzędzi systemowych. EDR Expert oferuje więcej funkcji monitorwowani zagrożeń i reakcji nanie niż EDR Optimum. Więcej informacji o rozwiązaniach można znaleźć w pomocy do Kaspersky Endpoint Detection and Response Optimum oraz w pomocy do Kaspersky Endpoint Detection and Response Expert.

Kaspersky Endpoint Detection and Response monitoruje i analizuje rozwój zagrożeń i zapewnia personel ds. bezpieczeństwa lub Administratora z informacjami o potencjalnym ataku, które są niezbędne do reagowania w odpowiednim momencie. Kaspersky Endpoint Detection and Response wyświetla szczegóły wykrycia w oddzielnym oknie. Szczegóły wykrycia to narzędzie do przeglądania całości zebranych informacji o wykrytym zagrożeniu. Szczegóły wykrycia obejmują, na przykład, historię plików pojawiających się na komputerze. Więcej informacji o zarządzaniu szczegółami wykrycia można znaleźć w pomocy do Kaspersky Endpoint Detection and Response Optimum oraz w pomocy do Kaspersky Endpoint Detection and Response Expert.

Możesz skonfigurować komponent EDR Optimum w Web Console i Cloud Console. Ustawienia komponentu dla EDR Expert są dostępne tylko w Cloud Console.

Ustawienia Endpoint Detection and Response

Parametr

Opis

Izolacja od sieci

Automatyczna izolacja komputera od sieci w odpowiedzi na wykryte zagrożenia.

Jeśli izolacja sieci jest włączona, aplikacja zrywa wszystkie aktywne połączenia i blokuje wszystkie nowe połączenia TCP/IP na komputerze. Aplikacja pozostawia aktywne tylko następujące połączenia:

  • Połączenia znajdujące się w wykluczeniach Izolacji sieci.
  • Połączenia zainicjowane przez usługi Kaspersky Endpoint Security.
  • Połączenia zainicjowane przez agenta sieciowego Kaspersky Security Center.

Automatycznie odblokuj izolację komputera za N godzin

Izolacja sieci może zostać wyłączona automatycznie po określonym czasie lub ręcznie. Domyślnie, Kaspersky Endpoint Security wyłączy Izolację sieci 5 godzin od rozpoczęcia izolacji.

Wykluczenia izolacji od sieci

Lista reguł dla wykluczeń z izolacji sieci. Połączenia sieciowe, które odpowiadają regułom, nie są blokowane na komputerach, gdy Izolacja sieci jest włączona.

Aby skonfigurować wykluczenia izolacji sieci, możesz użyć listy standardowych profili sieciowych. Domyślnie, wykluczenia obejmują profile sieciowe zawierające reguły, które zapewniają nieprzerwane działanie urządzeń z rolami serwera DNS/DHCP i klienta DNS/DHCP. Możesz także ręcznie zmodyfikować ustawienia standardowych profili sieciowych lub zdefiniować wykluczenia.

Wykluczenia określone we właściwościach zasady są stosowane tylko wtedy, gdy Izolacja sieci zostaje włączona automatycznie w odpowiedzi na wykryte zagrożenie. Wykluczenia określone we właściwościach komputera są stosowane tylko wtedy, gdy Izolacja od sieci zostanie włączona ręcznie we właściwościach komputera w konsoli Kaspersky Security Center lub w szczegółach alertu.

Zapobieganie wykonywaniu

Kontrola wykonania plików wykonywalnych i skryptów oraz otwarcia plików formatów office. Na przykład, możesz zapobiec wykonaniu aplikacji, które są uznawane za niezabezpieczone na wybranym komputerze. Zapobieganie wykonywaniu obsługuje zestaw rozszerzeń plików pakietu office oraz zestaw interpreterów skryptu.

Aby korzystać z komponentu Zapobieganie wykonywaniu, należy dodać reguły zapobiegania wykonywaniu. Reguły zapobiegania wykonywaniu to zestaw kryteriów, które aplikacja bierze pod uwagę podczas reagowania na wykonanie obiektu, na przykład, podczas blokowania wykonania obiektu. Aplikacja identyfikuje pliki według ich ścieżek lub sum kontrolnych wyliczonych przy użyciu algorytmów haszowania MD5 i SHA256.

Akcja podczas wykonywania lub otwierania zabronionego obiektu

Blokuj i zapisz do raportu. W tym trybie aplikacja blokuje wykonanie obiektów lub otwieranie dokumentów, które odpowiadają kryteriom reguły blokowania. Aplikacja publikuje także zdarzenie dotyczące prób wykonania obiektów lub otwarcia dokumentów w Dzienniku zdarzeń Windows oraz dzienniku zdarzeń Kaspersky Security Center.

Tylko zapisuj zdarzenia. W tym trybie Kaspersky Endpoint Security publikuje zdarzenie dotyczące prób uruchomienia obiektów wykonywalnych lub otwarcia dokumentów, które odpowiadają kryteriom reguły blokowania, w Dzienniku zdarzeń Windows oraz w Kaspersky Security Center, ale nie blokują próby uruchomienia lub otwarcia obiektu lub dokumentu. Ten tryb jest wybrany domyślnie.

Cloud Sandbox

Cloud Sandbox to technologia pozwalająca na wykrywanie zaawansowanych zagrożeń na komputerze. Kaspersky Endpoint Security automatycznie przesyła usunięte pliki do Cloud Sandbox w celu ich przeanalizowania. Cloud Sandbox uruchamia te pliki w odizolowanym środowisku, aby zidentyfikować złośliwą aktywność i zdecydować o ich reputacji. Dane z tych plików są następnie wysyłane do Kaspersky Security Network. Dlatego też, jeżeli Cloud Sandbox wykrył szkodliwy plik, Kaspersky Endpoint Security wykona odpowiednią akcję w celu wyeliminowania tego zagrożenia na wszystkich komputerach, na których ten plik został wykryty.

Technologia Cloud Sandbox jest stale włączona i jest dostępna dla wszystkich użytkowników Kaspersky Security Network, niezależnie od typu licencji, z której korzystają.

Jeżeli to pole wyboru jest zaznaczone, Kaspersky Endpoint Security włączy licznik dla zagrożeń wykrytych przy użyciu Cloud Sandbox w głównym oknie aplikacji pod Technologie wykrywania zagrożeń. Kaspersky Endpoint Security będzie również wskazywał technologię wykrywania zagrożeń Cloud Sandbox w zdarzeniach aplikacji oraz w Raporcie o zagrożeniach w konsoli Kaspersky Security Center.

Czy ten artykuł był pomocny?
Co możemy zrobić lepiej?
Dziękujemy za opinię! Dzięki niej możemy stawać się lepsi.
Dziękujemy za opinię! Dzięki niej możemy stawać się lepsi.