Endpoint Detection and Response
Kaspersky Endpoint Security 11.7.0 現在有 Kaspersky Endpoint Detection and Response Optimum 解決方案(以下也稱為 "EDR Optimum")的內建代理。Kaspersky Endpoint Detection and Response Optimum 是用於防護組織的 IT 基礎架構抵禦進階網路威脅的解決方案。該解決方案的功能結合了自動偵測威脅和回應這些威脅的能力,以抵消包括新漏洞、勒索軟體、無檔案攻擊以及使用合法系統工具的方法。有關解決方案的更多資訊,請參見Kaspersky Endpoint Detection and Response Optimum 說明。
Kaspersky Endpoint Detection and Response Optimum 會檢閱和分析威脅發展並向安全人員或者管理員提供有關需要作出及時回應的潛在攻擊的資訊。Kaspersky Endpoint Detection and Response 會在單獨視窗中顯示偵測詳情。偵測詳情是一款用來檢視有關被偵測的威脅的整個收集資訊和管理回應操作的工具。偵測詳情包括,例如,出現在電腦上的檔案的歷史。有關偵測詳情的詳細資訊,請參閱Kaspersky Endpoint Detection and Response Optimum 說明。
該元件只可以使用卡巴斯基安全管理中心網頁主控台進行管理。您不能使用管理主控台 (MMC) 管理此元件。
Endpoint Detection and Response Optimum 設定
參數 | 描述 |
|---|---|
網路隔離 | 回應偵測到的威脅自動將電腦從網路中隔離。 當開啟網路隔離時,應用程式會斷開電腦上的所有活動連線並封鎖所有新的 TCP/IP 連線。應用程式只會讓以下連線處於活動狀態:
|
N 小時後自動解鎖隔離電腦 | 指定時間後可以自動或者手動關閉網路隔離。預設情況下,Kaspersky Endpoint Security 會在隔離啟動 5 小時後關閉網路隔離。 |
網路隔離排除項目 | 從網路隔離中排除的規則清單當開啟網路隔離時,電腦上匹配規則的網路連線不會被封鎖。 要配置網路隔離排除項目,您可以使用“標準網路設定檔”清單。預設情況下,排除項目包括包含確保裝置(具有 DNS/DHCP 伺服器和 DNS/DHCP 用戶端角色)不中斷操作的規則的網路設定檔。您也可以修改標準網路設定檔的設定或者手動定義排除項目。 只有當網路隔離回應偵測到的威脅自動開啟時,政策內容中指定的排除項目才會套用。只有當網路隔離在卡巴斯基安全管理中心主控台的電腦內容中手動開啟時,電腦內容中指定的排除項目才會套用。 |
執行防護 | 控制可執行檔和指令碼的執行以及 Office 格式檔案的開啟。例如,您可以防止執行在選取電腦上被認為不安全的應用程式。執行防護支援Office 檔案延伸程式集合和指令碼解譯器集合。 |
執行或開啟被禁止的物件時的動作 | 封鎖和寫入報告。在此模式中,應用程式會封鎖執行物件或者開啟匹配防護規則條件的文件。應用程式也會將嘗試執行物件或者開啟文件的事件發佈到 Windows 事件記錄和卡巴斯基安全管理中心事件記錄。 僅記錄事件。在此模式中,Kaspersky Endpoint Security 會將嘗試執行可執行物件或者開啟匹配防護規則條件的文件的事件發佈到 Windows 事件記錄和卡巴斯基安全管理中心,但是不會封鎖執行或者開啟物件或者文件的嘗試。預設情況下已選擇此模式。 |
執行防護規則 | 物件執行防護規則清單執行防護規則是一個在封鎖時考慮的條件集合。應用程式根據檔案路徑或者使用 MD5 和 SHA256 雜湊演算法計算的總和檢查碼來識別檔案。 |