О Kaspersky Endpoint Detection and Response Optimum

Kaspersky Endpoint Detection and Response Optimum - решение, предназначенное для защиты IT-инфраструктуры организации от сложных кибернетических угроз. Функционал решения сочетает автоматическое обнаружение угроз с возможностью реагирования на эти угрозы для противостояния сложным атакам, в том числе новым эксплойтам (exploits), программам-шантажистам (ransomware), бесфайловым атакам (fileless attacks), а также методам, использующим законные системные инструменты. Решение предназначено для корпоративных пользователей.

Архитектура решения

Решение состоит из следующих компонентов:

• Kaspersky Endpoint Agent в составе Endpoint Protection Platform (например, в составе Kaspersky Endpoint Security) устанавливается на отдельные устройства, входящие в IT-инфраструктуру организации и работающие под управлением операционной системы Microsoft Windows. Программа осуществляет постоянное наблюдение за процессами, запущенными на этих устройствах, открытыми сетевыми соединениями и изменяемыми файлами.
• Kaspersky Security Center с Kaspersky Security Center Web Console (или Kaspersky Security Center Cloud Console с облачной Консолью администрирования) позволяют централизованно управлять решением и его настройками через единый веб-интерфейс.
• Kaspersky Sandbox (опциональный компонент - приобретается отдельно) предназначен для дополнительной проверки неизвестных объектов, обнаруженных EPP, которые могут быть использованы злоумышленниками для нанесения вреда компьютеру или данным пользователя. Подробную информацию о Kaspersky Sandbox см. в Справке Kaspersky Sandbox.

Обнаружение угроз

Kaspersky Endpoint Detection and Response Optimum выполняет обзор и анализ развития угрозы и предоставляет Сотруднику службы безопасности или Администратору информацию о потенциальной атаке, необходимую для принятия своевременных ответных действий.

Карточка инцидента - инструмент для просмотра всей полученной информации об обнаруженной угрозе и управления ответными действиями. Карточка инцидента отображается в Kaspersky Security Center и может содержать, например, следующую информацию об обнаруженной угрозе:

• Граф цепочки развития угрозы.
• Информация об устройстве, на котором обнаружена угроза (например, имя, IP-адрес, MAC-адрес, список пользователей, операционная система).
• Общая информация об обнаружении, включая режим обнаружения (например, обнаружение при сканировании по требованию или при автоматическом сканировании).
• Изменения в реестре, связанные с обнаружением.
• История появления файлов на устройстве.
• Принятые программой ответные действия.

Граф цепочки развития угрозы - инструмент для анализа причин появления угрозы. Граф предоставляет визуальную информацию об объектах, задействованных в инциденте, например, о ключевых процессах на устройстве, сетевых соединениях, библиотеках, ветках реестра.

Решение использует следующие средства анализа угроз (Threat Intelligence):

• Инфраструктуру облачных служб Kaspersky Security Network (далее также "KSN"), предоставляющую доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции программ "Лаборатории Касперского" на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний.
• Интеграцию с программой "Лаборатории Касперского" Kaspersky Private Security Network (далее также "KPSN"), предоставляющую пользователю возможность получать доступ к репутационным базам KSN, а также другим статистическим данным, не отправляя данные в KSN со своих компьютеров.
• Интеграцию с информационной системой "Лаборатории Касперского" Kaspersky Threat Intelligence Portal, которая содержит и отображает информацию о репутации файлов и URL-адресов.
• Базу угроз "Лаборатории Касперского" Kaspersky Threats.

Реагирование на угрозы

Функционал реагирования на угрозы имеет следующие автоматические ответные действия, принимаемые программой при обнаружении угроз:

• Помещение объекта на карантин.
• Удаление файла.
• Сетевая изоляция устройства.
• Запуск проверки важных областей на устройстве.
• Запуск поиска индикаторов компрометации (IOC) на группе устройств.

Дополнительно Сотруднику службы безопасности или Администратору доступны следующие действия:

• Помещение объекта в список правил Запрета запуска.
• Запуск процесса на устройстве.
• Завершение процесса на устройстве.

Функционал Kaspersky Endpoint Agent

Kaspersky Endpoint Agent в рамках решения Kaspersky Endpoint Detection and Response Optimum выполняет следующие действия:

• Собирает информацию об обнаружениях от Endpoint Protection Platform (например, от Kaspersky Endpoint Security).
• Дополняет информацию о заключениях данными, связанными с обнаружением.
• Отправляет данные в Kaspersky Security Center для построения цепочки развития угрозы.
• Запускает задачи поиска индикаторов компрометации (IOC) на группах защищаемых устройств.
• Запускает ответные действия на обнаруженные индикаторы компрометации, например:
  • включает сетевую изоляцию устройства;
  • запускает проверку важных областей на устройстве.
• Отправляет объекты на проверку в Kaspersky Sandbox (если настроена интеграция с Kaspersky Sandbox).