Endpoint Detection and Response Optimum
2024年7月2日
ID 276062
從版本 12.1 開始,Kaspersky Endpoint Security for Mac 包括 Kaspersky Endpoint Detection and Response Optimum 解決方案(以下也稱為 “EDR Optimum”)的內建代理。此解決方案旨在防護企業 IT 基礎架構免受進階網路威脅。解決方案的功能結合了自動偵測威脅和回應這些威脅的能力,以抵消包括新漏洞、勒索軟體、無檔案攻擊以及使用合法系統工具的方法。有關這些解決方案的詳細資訊,請參閱 Kaspersky Endpoint Detection and Response Optimum 說明。
Kaspersky Endpoint Detection and Response 會審查和分析威脅發展並向安全人員或者管理員提供有關需要作出及時回應的潛在攻擊的資訊。Kaspersky Endpoint Detection and Response 會在單獨視窗中顯示偵測詳情。偵測詳情是一款用來檢視有關被偵測的威脅的整個收集資訊的工具。偵測詳情包括,例如,出現在電腦上的檔案的歷史。有關管理警示詳情的更多資訊,請參閱 Kaspersky Endpoint Detection and Response Optimum 說明。
注意:您可以在網頁主控台和雲端主控台中配置 EDR Optimum 元件。
Endpoint Detection and Response 設定
參數 | 描述 |
---|---|
網路隔離 | 回應偵測到的威脅自動將電腦從網路中隔離。 當開啟網路隔離時,應用程式會斷開電腦上的所有活動連線並封鎖所有新的 TCP/IP 連線。應用程式只會讓以下連線處於活動狀態:
|
N 小時後自動解鎖隔離電腦 | 指定時間後可以自動或者手動關閉網路隔離。預設情況下,Kaspersky Endpoint Security 會在隔離啟動 8 小時後關閉網路隔離。 |
網路隔離排除項目 | 從網路隔離中排除的規則清單當開啟網路隔離時,電腦上匹配規則的網路連線不會被封鎖。 要配置網路隔離排除項目,您可以使用標準網路設定檔清單。預設情況下,排除項目包括包含確保裝置(具有 DNS/DHCP 伺服器和 DNS/DHCP 用戶端角色)不中斷操作的規則的網路設定檔。您也可以修改標準網路設定檔的設定或者手動定義排除項目。 重要:只有當網路隔離回應偵測到的威脅自動開啟時,政策內容中指定的排除項目才會套用。只有當網路隔離在卡巴斯基安全管理中心主控台的電腦內容或者警示詳情中手動開啟時,電腦內容中指定的排除項目才會套用。 |
執行防禦 | 執行防禦可讓人管理可執行檔和指令碼的執行,以及開啟 Office 格式的檔案。這樣的話,您可以(例如)防止執行您認為不安全的應用程式。因此,威脅擴散可以被停止。執行防禦支援一組指令碼解釋器。 所要使用執行防禦元件,您需要新增執行防禦規則。執行防禦規則是應用程式對物件執行進行回應(例如,封鎖物件執行時)時考慮的一組條件。應用程式根據檔案路徑或者使用 MD5 和 SHA256 雜湊演算法計算的總和檢查碼來識別檔案。 |
執行或開啟被禁止物件時的動作 | 封鎖並寫入報告。在此模式中,應用程式會封鎖執行物件或者開啟匹配防護規則條件的文件。應用程式也會將嘗試執行物件或者開啟文件的事件發佈到卡巴斯基安全管理中心事件記錄。 僅記錄事件。在此模式中,Kaspersky Endpoint Security 會將嘗試執行可執行物件或者開啟匹配防護規則條件的文件的事件發佈到卡巴斯基安全管理中心事件記錄,但是不會封鎖執行或者開啟物件或者文件的嘗試。預設情況下已選擇此項。 |
Cloud Sandbox | Cloud Sandbox 技術可讓您偵測電腦上的進階威脅。Kaspersky Endpoint Security 自動將被偵測檔案轉寄到 Cloud Sandbox 進行分析。Cloud Sandbox 在隔離環境中執行這些檔案以識別惡意活動和決定其信譽。有關這些檔案的資料然後被傳送到卡巴斯基安全網路。因此,如果 Cloud Sandbox 偵測到一個惡意檔案,Kaspersky Endpoint Security 將執行適當操作在偵測到該檔案的所有電腦上消除該威脅。 注意:Cloud Sandbox 技術永久啟用,對所有卡巴斯基安全網路使用者可用,與他們使用的產品授權類型無關。 |