Endpoint Detection and Response

14 Tháng Hai, 2024

ID 214711

Kể từ phiên bản 11.7.0, Kaspersky Endpoint Security cho Windows đã có một tác nhân tích hợp cho giải pháp Kaspersky Endpoint Detection and Response Optimum (sau đây gọi là "EDR Optimum"). Kể từ phiên bản 11.8.0, Kaspersky Endpoint Security cho Windows đã có một tác nhân tích hợp cho giải pháp Kaspersky Endpoint Detection and Response Expert (sau đây gọi là "EDR Expert"). Kaspersky Endpoint Detection and Response là một loạt các giải pháp để bảo vệ cơ sở hạ tầng CNTT của doanh nghiệp trước các mối đe dọa mạng nâng cao. Chức năng của các giải pháp này kết hợp tính năng tự động phát hiện các mối đe dọa với khả năng phản ứng trước các mối đe dọa này để chống lại các cuộc tấn công nâng cao, bao gồm các cuộc tấn công khai thác mới, phần mềm tống tiền, các cuộc tấn công không dùng tập tin, cũng như các phương pháp sử dụng các công cụ hệ thống hợp pháp. EDR Expert cung cấp nhiều chức năng giám sát và phản ứng trước mối đe dọa hơn EDR Optimum. Để biết chi tiết về các giải pháp, hãy xem Trợ giúp của Kaspersky Endpoint Detection and Response Optimum và Trợ giúp của Kaspersky Endpoint Detection and Response Expert.

Kaspersky Endpoint Detection and Response sẽ đánh giá và phân tích sự phát triển của mối đe dọa và cung cấp cho nhân viên an ninh hoặc Quản trị viên thông tin về cuộc tấn công tiềm ẩn cần thiết để có phản ứng kịp thời. Kaspersky Endpoint Detection and Response sẽ hiển thị thông tin chi tiết về việc phát hiện trong một cửa sổ riêng. Chi tiết về phát hiện là một công cụ để xem toàn bộ thông tin thu thập được về một mối đe dọa được phát hiện. Chi tiết về phát hiện bao gồm, ví dụ như lịch sử của các tập tin xuất hiện trên máy tính. Để biết chi tiết về việc quản lý thông tin chi tiết về phát hiện, hãy tham khảo Trợ giúp của Kaspersky Endpoint Detection and Response Optimum và Trợ giúp của Kaspersky Endpoint Detection and Response Expert.

Bạn có thể cấu hình thành phần EDR Optimum trong Bảng điều khiển web và Bảng điều khiển đám mây. Thiết lập thành phần cho EDR Expert chỉ khả dụng trong Bảng điều khiển đám mây.

Thiết lập Endpoint Detection and Response

Tham số

Mô tả

Network isolation

Tự động cách ly máy tính khỏi mạng để đối phó với các mối đe dọa được phát hiện.

Khi bật chế độ cách ly mạng, ứng dụng sẽ cắt tất cả các kết nối đang hoạt động và chặn tất cả các kết nối TCP/IP mới trên máy tính. Ứng dụng chỉ để lại các kết nối sau hoạt động:

  • Các kết nối được liệt kê trong loại trừ Cách ly mạng.
  • Các kết nối được khởi tạo bởi các dịch vụ Kaspersky Endpoint Security.
  • Các kết nối được khởi tạo bởi Kaspersky Security Center Network Agent.

Automatically unlock isolated computer in N giờ

Tính năng cách ly mạng có thể được tắt tự động sau một thời gian nhất định hoặc theo cách thủ công. Theo mặc định, Kaspersky Endpoint Security sẽ tắt chế độ Cách ly mạng 5 giờ sau khi bắt đầu cách ly.

Network isolation exclusions

Danh sách các quy tắc loại trừ khỏi cách ly mạng. Các kết nối mạng phù hợp với quy tắc không bị chặn trên máy tính khi chế độ Cách ly mạng được bật.

Để cấu hình các loại trừ Cách ly mạng, bạn có thể sử dụng một danh sách các cấu hình mạng tiêu chuẩn. Theo mặc định, các loại trừ bao gồm các cấu hình mạng chứa các quy tắc đảm bảo hoạt động không bị gián đoạn của các thiết bị có máy chủ DNS/DHCP và các vai trò máy khách DNS/DHCP. Bạn cũng có thể sửa đổi thiết lập của các cấu hình mạng tiêu chuẩn hoặc định nghĩa các loại trừ theo cách thủ công.

Các loại trừ được chỉ định trong thuộc tính chính sách chỉ được áp dụng nếu chế độ Cách ly mạng được bật tự động để ứng phó với mối đe dọa được phát hiện. Các loại trừ được chỉ định trong các thuộc tính máy tính chỉ được áp dụng nếu chế độ Cách ly mạng được bật theo cách thủ công trong các thuộc tính máy tính, trong bảng điều khiển của Kaspersky Security Center hoặc trong chi tiết về cảnh báo.

Execution prevention

Kiểm soát việc thực thi các tập tin và tập lệnh thực thi và mở các tập tin định dạng văn phòng. Ví dụ: bạn có thể ngăn việc thực thi các ứng dụng được coi là không bảo mật trên máy tính đã chọn. Phòng chống thực thi hỗ trợ một tập hợp các phần mở rộng tập tin văn phòng và một tập hợp các trình thông dịch tập lệnh.

Để sử dụng thành phần Phòng chống thực thi, bạn cần thêm các quy tắc phòng chống thực thi. Quy tắc phòng chống thực thi là một tập hợp các tiêu chí mà ứng dụng xem xét khi phản ứng với hoạt động thực thi đối tượng, ví dụ khi chặn thực thi đối tượng. Ứng dụng xác định các tập tin bằng đường dẫn hoặc giá trị tổng kiểm của chúng được tính bằng thuật toán băm MD5 và SHA256.

Action on execution or opening of forbidden object

Block and write to report. Trong chế độ này, ứng dụng chặn việc thực thi các đối tượng hoặc mở các tài liệu đáp ứng với tiêu chí quy tắc ngăn chặn. Ứng dụng cũng phát hành một sự kiện về nỗ lực thực thi các đối tượng hoặc mở tài liệu vào nhật ký sự kiện Windows và nhật ký sự kiện của Kaspersky Security Center.

Log events only. Trong chế độ này, Kaspersky Endpoint Security sẽ phát hành một sự kiện về nỗ lực chạy các đối tượng thực thi hoặc mở tài liệu đáp ứng với tiêu chí quy tắc ngăn chặn vào nhật ký sự kiện Windows và Kaspersky Security Center, nhưng không chặn nỗ lực chạy hoặc mở đối tượng hoặc tài liệu. Chế độ này được chọn theo mặc định.

Cloud Sandbox

Cloud Sandbox là công nghệ cho phép bạn phát hiện các mối đe dọa nâng cao trên máy tính. Kaspersky Endpoint Security sẽ tự động chuyển tiếp các tập tin được phát hiện tới Cloud Sandbox để phân tích. Cloud Sandbox sẽ chạy các tập tin này trong một môi trường cách ly để xác định hoạt động độc hại và quyết định danh tiếng của chúng. Sau đó, dữ liệu về các tập tin này sẽ được gửi đến Kaspersky Security Network. Do đó, nếu Cloud Sandbox đã phát hiện ra tập tin độc hại thì Kaspersky Endpoint Security sẽ thực hiện hành động thích hợp để loại bỏ mối đe dọa này trên tất cả các máy tính nơi tập tin này được phát hiện.

Công nghệ Cloud Sandbox được bật vĩnh viễn và khả dụng cho tất cả người dùng Kaspersky Security Network bất kể họ đang sử dụng loại giấy phép nào.

Nếu hộp kiểm này được chọn, Kaspersky Endpoint Security sẽ bật bộ đếm các mối đe dọa được phát hiện bằng Cloud Sandbox trong cửa sổ chính của ứng dụng trong Công nghệ phát hiện mối đe dọa. Kaspersky Endpoint Security cũng sẽ chỉ báo công nghệ phát hiện mối đe dọa Cloud Sandbox trong các sự kiện ứng dụng và trong Report on threats trong bảng điều khiển Kaspersky Security Center.

Bạn có thấy bài viết này hữu ích không?
Chúng tôi có thể cải thiện điều gì không?
Cảm ơn bạn đã gửi phản hồi! Bạn đang giúp chúng tôi cải tiến.
Cảm ơn bạn đã gửi phản hồi! Bạn đang giúp chúng tôi cải tiến.