[Topic 231426]

Справка Kaspersky Industrial CyberSecurity Endpoint Detection and Response

Ключевые функции:

• Сетевая изоляция устройства
• Запрет запуска объектов
• Поиск IOC
• Просмотр списка обнаружений в Kaspersky Security Center Web Console
• Виджет EDR-обнаружений в Kaspersky Security Center Web Console

Аппаратные и программные требования

Лицензирование

Развертывание и первоначальная настройка решения

Обращение в Службу технической поддержки

[Topic 231279]

О Kaspersky Industrial CyberSecurity Endpoint Detection and Response

Kaspersky Industrial CyberSecurity Endpoint Detection and Response – это решение, предназначенное для защиты IT-инфраструктуры организации от сложных кибернетических угроз. Функционал решения сочетает автоматическое обнаружение угроз с возможностью для вас реагировать на эти угрозы для противостояния сложным атакам, в том числе новым эксплойтам (англ. exploits), программам-шантажистам (англ. ransomware), бесфайловым атакам (англ. fileless attacks), а также методам, использующим законные системные инструменты.

Kaspersky Industrial CyberSecurity Endpoint Detection and Response выполняет обзор и анализ развития угрозы и предоставляет сотруднику службы безопасности или администратору информацию о потенциальной атаке, необходимую для принятия своевременных действий по реагированию, или применяет заданные вами действия по реагированию автоматически.

Если в вашей инфраструктуре есть устройства под защитой Kaspersky Endpoint Detection and Response Optimum, вы можете управлять ими и устройствами с установленным решением Kaspersky Industrial CyberSecurity Endpoint Detection and Response одновременно в Kaspersky Security Center. Таким образом, Kaspersky Security Center предоставляет возможность управлять одновременно решениями под защитой Kaspersky Endpoint Detection and Response Optimum и решениями под защитой Kaspersky Industrial CyberSecurity Endpoint Detection and Response с помощью политики Kaspersky Endpoint Agent.

Функциональность обновлений (включая обновления антивирусных сигнатур и обновления кодовой базы), а также функциональность KSN будут недоступны в решении на территории США с 12:00 AM по восточному летнему времени (EDT) 10 сентября 2024 года в соответствии с ограничительными мерами.

[Topic 231280]

Программные требования

Kaspersky Industrial CyberSecurity Endpoint Detection and Response работает со следующими версиями программ "Лаборатории Касперского":

• Kaspersky Industrial CyberSecurity for Linux Nodes версии 1.5 и выше.
• С Kaspersky Industrial CyberSecurity for Linux Nodes необходимо использовать приложения для централизованного управления безопасностью сети:
  • Kaspersky Security Center Windows версии 14.2 и выше.
  • Kaspersky Security Center Linux 15.1 и выше.
• Kaspersky Industrial CyberSecurity for Nodes версии 3.1 и выше.
• Kaspersky Endpoint Agent версии 3.13 и выше.

  Kaspersky Endpoint Agent устанавливается на отдельные устройства, входящие в IT-инфраструктуру организации и работающие под управлением операционной системы Microsoft Windows. Программа обеспечивает поддержку Kaspersky Industrial CyberSecurity Endpoint Detection and Response для Kaspersky Industrial CyberSecurity for Nodes.

• С указанными версиями Kaspersky Industrial CyberSecurity for Nodes и Kaspersky Endpoint Agent необходимо использовать приложения для централизованного управления безопасностью сети:
  • Kaspersky Security Center версии с 10.5 до 12.1 – ограниченная поддержка функциональности Kaspersky Industrial CyberSecurity Endpoint Detection and Response (вы можете уточнить информацию о работе Kaspersky Industrial CyberSecurity Endpoint Detection and Response на разных версиях Kaspersky Security Center у партнера "Лаборатории Касперского", у которого вы приобрели лицензию).
  • Kaspersky Security Center Windows версии 12.1 и выше – полная поддержка функциональности Kaspersky Industrial CyberSecurity Endpoint Detection and Response.
  • Kaspersky Security Center Linux версии 15.1 и выше.

Информацию об аппаратных и программных требованиях поддерживаемых программ см. в справках соответствующих программ "Лаборатории Касперского":

• Kaspersky Industrial CyberSecurity for Nodes;
• Kaspersky Industrial CyberSecurity for Linux Nodes;
• Kaspersky Endpoint Agent;
• Kaspersky Security Center Windows;
• Kaspersky Security Center Linux.

[Topic 231281]

Архитектура решения

В состав решения Kaspersky Industrial CyberSecurity Endpoint Detection and Response входят следующие компоненты:

• EPP-программа

  Приложение, входящее в состав системы защиты конечных устройств (англ.

  Endpoint Protection Platform, EPP

  Интегрированная система комплексной защиты конечных устройств (например, мобильных устройств, компьютеров или ноутбуков) с помощью различных технологий безопасности. Пример Endpoint Protection Platform – решение Kaspersky Endpoint Security для бизнеса.

  Интегрированная система комплексной защиты конечных устройств (например, мобильных устройств, компьютеров или ноутбуков) с помощью различных технологий безопасности. Пример Endpoint Protection Platform – решение Kaspersky Endpoint Security для бизнеса.

  ). EPP-приложения устанавливаются на конечные устройства внутри IT-инфраструктуры организации (например, мобильные устройства, компьютеры или ноутбуки). Примером EPP-приложения является Kaspersky Industrial CyberSecurity for Nodes в составе EPP-решения Kaspersky Endpoint Detection and Response.

  Приложение, входящее в состав системы защиты конечных устройств (англ.

  Endpoint Protection Platform, EPP

  Интегрированная система комплексной защиты конечных устройств (например, мобильных устройств, компьютеров или ноутбуков) с помощью различных технологий безопасности. Пример Endpoint Protection Platform – решение Kaspersky Endpoint Security для бизнеса.

  ). EPP-приложения устанавливаются на конечные устройства внутри IT-инфраструктуры организации (например, мобильные устройства, компьютеры или ноутбуки). Примером EPP-приложения является Kaspersky Industrial CyberSecurity for Nodes в составе EPP-решения Kaspersky Endpoint Detection and Response.

  Приложение, входящее в состав системы защиты конечных устройств (англ.

  Endpoint Protection Platform, EPP

  Интегрированная система комплексной защиты конечных устройств (например, мобильных устройств, компьютеров или ноутбуков) с помощью различных технологий безопасности. Пример Endpoint Protection Platform – решение Kaspersky Endpoint Security для бизнеса.

  ). EPP-приложения устанавливаются на конечные устройства внутри IT-инфраструктуры организации (например, мобильные устройства, компьютеры или ноутбуки). Примером EPP-приложения является Kaspersky Industrial CyberSecurity for Nodes в составе EPP-решения Kaspersky Endpoint Detection and Response.

  (Kaspersky Industrial CyberSecurity for Nodes или Kaspersky Industrial CyberSecurity for Linux Nodes) с поддержкой функциональности Kaspersky Industrial CyberSecurity Endpoint Detection and Response, которая устанавливается на отдельные устройства, входящие в IT-инфраструктуру организации. Эта программа осуществляет постоянное наблюдение за процессами, запущенными на защищаемых устройствах, открытыми сетевыми соединениями и изменяемыми файлами.
• Kaspersky Endpoint Agent – программа, осуществляющая постоянный контроль и передачу в Kaspersky Industrial CyberSecurity for Nodes информации о процессах, открытых сетевых соединениях и изменяемых файлах на устройтве.
• Решение для централизованного управления сетевой безопасностью (Kaspersky Security Center).
• Средства анализа угроз (англ. Threat Intelligence):
  • Инфраструктура облачных служб Kaspersky Security Network (далее также KSN), предоставляющая доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции программ "Лаборатории Касперского" на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний.
  • Интеграция с решением Kaspersky Private Security Network (далее также KPSN), предоставляющим возможность получать доступ к репутационным базам KSN, а также другим статистическим данным, не отправляя в KSN данные со своих устройств.
  • Интеграция с веб-порталом Kaspersky Threat Intelligence Portal, которая содержит и отображает информацию о репутации файлов и веб-адресов.
  • База угроз Kaspersky Threats.

[Topic 231318]

Развертывание и первоначальная настройка решения при использовании Kaspersky Industrial CyberSecurity for Nodes

Сценарий развертывания состоит из следующих этапов:

1. Установка Kaspersky Security Center и Kaspersky Security Center Web Console

   Подробную информацию об установке Kaspersky Security Center Windows и Kaspersky Security Center Web Console см. в Справке Kaspersky Security Center.

   Подробную информацию об установке Kaspersky Security Center Linux и Kaspersky Security Center Web Console см. в Справке Kaspersky Security Center Linux.

   Информацию о поддерживаемых версиях Kaspersky Security Center см. в разделе Программные требования.

2. Установка Kaspersky Industrial CyberSecurity for Nodes

   Подробную информацию об установке Kaspersky Industrial CyberSecurity for Nodes см. в Справке Kaspersky Industrial CyberSecurity for Nodes.

3. Установка Kaspersky Endpoint Agent

   Вы можете получить дистрибутив для установки Kaspersky Endpoint Agent у поставщика решения Kaspersky Industrial CyberSecurity Endpoint Detection and Response.

4. Установка веб-плагина управления Kaspersky Endpoint Agent

   Подробную информацию об установке веб-плагинов управления см. в Справке Kaspersky Security Center.

5. Первоначальная настройка веб-плагина Kaspersky Endpoint Agent

   Активируйте Kaspersky Endpoint Agent и создайте политику Kaspersky Endpoint Agent.

6. Настройка отчета об угрозах

   Настройте отчет об угрозах для просмотра карточек инцидентов.

7. Добавление виджета

   Добавьте виджет EDR-обнаружений на информационную панель для мониторинга обнаружений.

8. Отображение списка обнаружений

   Включите отображение раздела Обнаружения в Kaspersky Security Center Web Console.

Решение Kaspersky Industrial CyberSecurity Endpoint Detection and Response готово к использованию, Kaspersky Industrial CyberSecurity for Nodes и Kaspersky Endpoint Agent установлены и настроены.

[Topic 281264]

Развертывание и первоначальная настройка решения при использовании Kaspersky Industrial CyberSecurity for Linux Nodes

Сценарий развертывания состоит из следующих этапов:

1. Установка Kaspersky Security Center и Kaspersky Security Center Web Console

   Подробную информацию об установке Kaspersky Security Center Windows и Kaspersky Security Center Web Console см. в Справке Kaspersky Security Center.

   Подробную информацию об установке Kaspersky Security Center Linux и Kaspersky Security Center Web Console см. в Справке Kaspersky Security Center Linux.

   Информацию о поддерживаемых версиях Kaspersky Security Center см. в разделе Программные требования.

2. Установка Kaspersky Industrial CyberSecurity for Linux Nodes

   Подробную информацию об установке Kaspersky Industrial CyberSecurity for Linux Nodes см. в Справке Kaspersky Industrial CyberSecurity for Linux Nodes.

3. Установка веб-плагина управления Kaspersky Industrial CyberSecurity for Linux Nodes

   Подробную информацию об установке веб-плагинов управления см. в Справке Kaspersky Security Center.

4. Активация Kaspersky Industrial CyberSecurity Endpoint Detection and Response
5. Установка плагина управления Kaspersky Endpoint Detection and Response

   Подробную информацию об установке плагинов управления см. в Справке Kaspersky Security Center.

6. Создание политики в Kaspersky Security Center

   Создайте политики, которые будут распространяться на группы устройств с установленной Kaspersky Industrial CyberSecurity for Linux Nodes. Подробнее о создании политики см. в Справке Kaspersky Security Center.

7. Настройка отчета об угрозах

   Настройте отчет об угрозах для просмотра карточек инцидентов.

8. Добавление виджета

   Добавьте виджет EDR-обнаружений на информационную панель для мониторинга обнаружений.

9. Отображение списка обнаружений

   Включите отображение раздела Обнаружения в Kaspersky Security Center Web Console.

Решение Kaspersky Industrial CyberSecurity Endpoint Detection and Response готово к использованию, программа Kaspersky Industrial CyberSecurity for Linux Nodes установлена и настроена.

[Topic 231315]

Лицензирование

Этот раздел содержит информацию об основных понятиях, связанных с лицензированием решения.

Подробнее о лицензировании программ, входящих в состав решения Kaspersky Industrial CyberSecurity Endpoint Detection and Response см. в справках программ:

• Kaspersky Security Center Windows;
• Kaspersky Security Center Linux;
• Kaspersky Industrial CyberSecurity for Nodes;
• Kaspersky Industrial CyberSecurity for Linux Nodes;
• Kaspersky Endpoint Agent.

[Topic 238513]

О Лицензионном соглашении

Лицензионное соглашение – это юридическое соглашение между вами и АО "Лаборатория Касперского", в котором указано, на каких условиях вы можете использовать программу.

Внимательно ознакомьтесь с условиями Лицензионного соглашения перед началом работы с программой.

Вы можете ознакомиться с условиями Лицензионного соглашения следующими способами:

• Во время установки программ, входящих в состав решения Kaspersky Industrial CyberSecurity Endpoint Detection and Response.
• Прочитав документ license.txt. Этот документ включен в комплект поставки программ, входящих в состав решения Kaspersky Industrial CyberSecurity Endpoint Detection and Response.

Вы принимаете условия Лицензионного соглашения, подтверждая свое согласие с текстом Лицензионного соглашения во время установки программы. Если вы не согласны с условиями Лицензионного соглашения, вы должны прервать установку программы и не должны использовать программу.

[Topic 69240]

О лицензии

Лицензия – это ограниченное по времени право на использование Kaspersky Industrial CyberSecurity Endpoint Detection and Response, предоставляемое вам на условиях заключенного Лицензионного договора (Лицензионного соглашения).

Список доступных функций и срок использования приложения зависят от лицензии, по которой используется приложение.

Предусмотрены следующие типы лицензий:

• Пробная – бесплатная лицензия, предназначенная для ознакомления с приложением.

  Пробная лицензия имеет небольшой срок действия. По истечении срока действия пробной лицензии Kaspersky Industrial CyberSecurity Endpoint Detection and Response прекращает выполнять все свои функции. Чтобы продолжить использование приложения, вам нужно приобрести коммерческую лицензию.

  Вы можете использовать приложение по пробной лицензии только в течение одного срока пробного использования.

• Коммерческая – платная лицензия.

  По истечении срока действия коммерческой лицензии приложение прекращает выполнять свои основные функции. Для продолжения работы Kaspersky Industrial CyberSecurity Endpoint Detection and Response вам нужно продлить срок действия коммерческой лицензии. После истечения срока действия лицензии вы не можете далее использовать приложение и должны удалить его с устройства.

  Рекомендуется продлевать срок действия лицензии не позднее даты его окончания, чтобы обеспечить непрерывность защиты устройства от угроз компьютерной безопасности.

[Topic 73976]

О лицензионном сертификате

Лицензионный сертификат – это документ, который передается вам вместе с файлом ключа или кодом активации.

В Лицензионном сертификате содержится следующая информация о предоставляемой лицензии:

• лицензионный ключ или номер заказа;
• информация о пользователе, которому предоставляется лицензия;
• информация о приложении, которое можно активировать по предоставляемой лицензии;
• ограничение на количество единиц лицензирования (например, устройств, на которых можно использовать приложение по предоставляемой лицензии);
• дата начала срока действия лицензии;
• дата окончания срока действия лицензии или срок действия лицензии;
• тип лицензии.

[Topic 69295]

О лицензионном ключе

Лицензионный ключ – последовательность бит, с помощью которой вы можете активировать и затем использовать приложение в соответствии с условиями Лицензионного соглашения. Лицензионный ключ создается специалистами "Лаборатории Касперского".

Вы можете добавить лицензионный ключ в приложение одним из следующих способов: применить файл ключа или ввести код активации. Лицензионный ключ отображается в интерфейсе приложения в виде уникальной буквенно-цифровой последовательности, после того как вы добавили его в приложение.

Лицензионный ключ может быть заблокирован "Лабораторией Касперского", если условия Лицензионного соглашения нарушены. Если лицензионный ключ заблокирован, для работы приложения требуется добавить другой лицензионный ключ.

Лицензионный ключ может быть активным и дополнительным (или резервным).

Активный лицензионный ключ – лицензионный ключ, используемый в текущий момент для работы приложения. В качестве активного может быть добавлен лицензионный ключ для пробной или коммерческой лицензии. В приложении не может быть больше одного активного лицензионного ключа.

Дополнительный (или резервный) лицензионный ключ – лицензионный ключ, подтверждающий право на использование приложения, но не используемый в текущий момент. Дополнительный лицензионный ключ автоматически становится активным, когда заканчивается срок действия лицензии, связанной с текущим активным лицензионным ключом. Дополнительный лицензионный ключ может быть добавлен только при наличии активного лицензионного ключа.

Лицензионный ключ для пробной лицензии может быть добавлен только в качестве активного лицензионного ключа. Лицензионный ключ для пробной лицензии не может быть добавлен в качестве дополнительного лицензионного ключа.

[Topic 69430]

О коде активации

Код активации – это уникальная последовательность из двадцати латинских букв и цифр. Вы вводите код активации, чтобы добавить лицензионный ключ, активирующий Kaspersky Industrial CyberSecurity Endpoint Detection and Response. Вы получаете код активации по указанному вами адресу электронной почты после приобретения Kaspersky Industrial CyberSecurity Endpoint Detection and Response или после заказа пробной версии Kaspersky Industrial CyberSecurity Endpoint Detection and Response.

Чтобы активировать приложение с помощью кода активации, требуется доступ в интернет для подключения к серверам активации "Лаборатории Касперского".

Если код активации был потерян после активации приложения, свяжитесь с партнером "Лаборатории Касперского", у которого вы приобрели лицензию.

[Topic 69431]

О файле ключа

Файл ключа – это файл с расширением key, который вам предоставляет "Лаборатория Касперского". Файл ключа предназначен для добавления лицензионного ключа, активирующего приложение.

Вы получаете файл ключа по указанному вами адресу электронной почты после приобретения Kaspersky Industrial CyberSecurity Endpoint Detection and Response или после заказа пробной версии Kaspersky Industrial CyberSecurity Endpoint Detection and Response.

Чтобы активировать приложение с помощью файла ключа, не требуется подключение к серверам активации "Лаборатории Касперского".

Если файл ключа был случайно удален, вы можете его восстановить. Файл ключа может потребоваться вам, например, для регистрации в Kaspersky CompanyAccount.

Для восстановления файла ключа вам нужно выполнить одно из следующих действий:

• Обратиться к продавцу лицензии.
• Получить файл ключа на веб-сайте "Лаборатории Касперского" на основе имеющегося кода активации.

[Topic 231434]

О Kaspersky Security Network

Kaspersky Security Network (далее также KSN) – это инфраструктура облачных служб, предоставляющая доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, интернет-ресурсов и программного обеспечения.

Более подробную информацию об отправке в "Лабораторию Касперского", хранении и уничтожении статистической информации, полученной во время использования KSN, вы можете прочитать на веб-сайте "Лаборатории Касперского".

Инфраструктура KSN

В Kaspersky Security Network есть следующие инфраструктурные решения:

• Глобальный KSN – это решение, которое используют большинство программ "Лаборатории Касперского". Участники KSN получают информацию от Kaspersky Security Network, а также отправляют в "Лабораторию Касперского" данные об объектах, обнаруженных на устройстве пользователя, для дополнительной проверки аналитиками "Лаборатории Касперского" и пополнения репутационных и статистических баз Kaspersky Security Network.
• Локальный KSN – это решение, позволяющее пользователям устройств, на которые установлена программа Kaspersky Industrial CyberSecurity Endpoint Detection and Response или другие программы "Лаборатории Касперского", получать доступ к репутационным базам Kaspersky Security Network, а также другим статистическим данным, не отправляя данные в KSN со своих устройств. Локальный KSN разработан для корпоративных клиентов, не имеющих возможности участвовать в Kaspersky Security Network, например, по следующим причинам:
  • отсутствие подключения локальных рабочих мест к интернету;
  • законодательный запрет или ограничение корпоративной безопасности на отправку любых данных за пределы страны или за пределы локальной сети организации.

[Topic 231313]

О предоставлении данных

Для корректной работы компонентов Kaspersky Industrial CyberSecurity Endpoint Detection and Response требуется обработка данных на стороне "Лаборатории Касперского".

Полученная информация защищается "Лабораторией Касперского" в соответствии с установленными законом требованиями и действующими правилами "Лаборатории Касперского". Данные передаются по зашифрованным каналам связи.

Подробную информацию о данных, предоставляемых при использовании решения Kaspersky Industrial CyberSecurity Endpoint Detection and Response, см. в справке программ "Лаборатории Касперского", установленных в вашей IT-инфраструктуре:

• Kaspersky Industrial CyberSecurity for Nodes;
• Kaspersky Industrial CyberSecurity for Linux Nodes;
• Kaspersky Endpoint Agent;
• Kaspersky Security Center Windows;
• Kaspersky Security Center Linux.

[Topic 231316]

Активация решения

Активация решения Kaspersky Industrial CyberSecurity Endpoint Detection and Response заключается в активации программы Kaspersky Industrial CyberSecurity for Nodes, установленной на защищаемых устройствах, с помощью лицензии, которая включает функциональность Kaspersky Industrial CyberSecurity Endpoint Detection and Response.

Вы можете приобрести лицензию на использование функциональности Kaspersky Industrial CyberSecurity Endpoint Detection and Response следующими способами:

• в составе лицензии на использование программы Kaspersky Industrial CyberSecurity for Nodes;
• отдельно, в дополнение к ранее приобретенной лицензии на использование программы Kaspersky Industrial CyberSecurity for Nodes.

Если вы приобрели лицензию Kaspersky Industrial CyberSecurity Endpoint Detection and Response в составе лицензии на использование программы Kaspersky Industrial CyberSecurity for Nodes, то использование Kaspersky Industrial CyberSecurity Endpoint Detection and Response станет доступно после того, как вы выполните первоначальную настройку решения.

Если вы приобрели лицензию на использование Kaspersky Industrial CyberSecurity Endpoint Detection and Response отдельно, в дополнение к ранее приобретенной лицензии уже после установки и активации программы Kaspersky Industrial CyberSecurity for Nodes на устройства, то вам нужно активировать программу Kaspersky Endpoint Agent на устройствах с помощью нового кода активации или файла ключа, в зависимости от способа, которым вы приобрели лицензию на использование Kaspersky Industrial CyberSecurity Endpoint Detection and Response. После этого требуется выполнить первоначальную настройку решения.

Подробнее об активации решения см. в документации программ "Лаборатории Касперского":

• Kaspersky Security Center Windows;
• Kaspersky Security Center Linux;
• Kaspersky Industrial CyberSecurity for Nodes;
• Kaspersky Industrial CyberSecurity for Linux Nodes;
• Kaspersky Endpoint Agent.

[Topic 231409]

Действия по реагированию

Этот раздел содержит информацию о действиях по реагированию на обнаруженные угрозы, доступных в рамках Kaspersky Industrial CyberSecurity Endpoint Detection and Response.

[Topic 231331]

О сетевой изоляции

Kaspersky Industrial CyberSecurity Endpoint Detection and Response предоставляет возможность изолировать устройства от сети по требованию (вручную) или в качестве автоматического действия по реагированию на обнаруженные угрозы.

При автоматическом реагировании на устройствах будут выполнены соответствующие команды без подтверждения оператором. Несмотря на использование стандартных механизмов ОС, возможно возникновение непредвиденных проблем, вызванных неправильной или узкоспециализированной настройкой устройств, проблем совместимости или ошибок в программном обеспечении устройств и автоматизированных систем управления технологическим процессом (далее "АСУ ТП"), которые не проявляются при обычном использовании. Например, возможно появление следующих проблем: выключение устройства; потеря связи с устройством; потеря работоспособности устройства; другие сбои в работе решения и оборудования. Также возможно непреднамеренное влияние на работу АСУ ТП.

Администратор Kaspersky Industrial CyberSecurity Endpoint Detection and Response несет полную ответственность за влияние автоматических действий решения в отношении обнаруженных угроз на стабильность работы АСУ ТП и технологического процесса.

После включения сетевой изоляции программа разрывает все активные соединения TCP/IP и блокирует все новые сетевые соединения TCP/IP на устройствах, кроме следующих соединений:

• соединения, указанные в исключениях из сетевой изоляции;
• соединения, инициированные службами программы Kaspersky Industrial CyberSecurity for Nodes или Kaspersky Industrial CyberSecurity for Linux Nodes;
• соединения, инициированные Агентом администрирования Kaspersky Security Center.

Вы можете применять сетевую изоляцию устройства вручную в параметрах программы Kaspersky Industrial CyberSecurity for Linux Nodes на устройстве или в деталях обнаружения, а также автоматически, в результате ответных действий на обнаружения при выполнении задачи поиска IOC. Разблокировать изолированное устройство можно вручную из деталей обнаружения, в параметрах программы Kaspersky Industrial CyberSecurity for Linux Nodes на устройстве или из командной строки, а также можно настроить период, по истечении которого требуется выключать сетевую изоляцию автоматически.

Вы можете настроить исключения из сетевой изоляции. Сетевые соединения, подпадающие под заданные исключения, не будут заблокированы на устройствах после включения сетевой изоляции.

Подробнее об управлении сетевой изоляцией вручную через параметры программы на устройстве см. в Справке Kaspersky Endpoint Agent.

Читайте в Справке Kaspersky Industrial CyberSecurity for Linux Nodes о включении и выключении сетевой изоляции на устройстве и о настройке исключений из сетевой изоляции.

[Topic 231333]

О помещении файла на карантин

Одно из возможных действий по реагированию при обнаружении угрозы – помещение файла на карантин.

Карантин – это специальное локальное хранилище на устройстве с Kaspersky Industrial CyberSecurity Endpoint Detection and Response, в которое помещаются файлы, возможно зараженные вирусами или неизлечимые на момент обнаружения. Файлы на карантине хранятся на защищаемом устройстве в зашифрованном виде и не угрожают безопасности устройства.

Вы можете поместить файл на карантин вручную или задать помещение на карантин автоматически в качестве ответных действий на обнаружения. Вы также можете поместить файл на карантин из окна деталей обнаружения.

Это действие недоступно на компьютерах под управлением ОС семейства Linux с установленным приложением Kaspersky Industrial CyberSecurity for Linux Nodes версии 1.5.

Подробнее о карантине см. в Справке Kaspersky Endpoint Agent.

[Topic 231336]

Настройка параметров хранения файлов на карантине

Чтобы просмотреть список файлов на карантине,

в главном окне Kaspersky Security Center Web Console перейдите в раздел Хранилища → Карантин.

Проверка объектов, помещенных на карантин в рамках работы Kaspersky Industrial CyberSecurity Endpoint Detection and Response, недоступна.

Подробнее о работе с карантином см. в:

• Cправке Kaspersky Security Center Windows;
• Cправке Kaspersky Security Center Linux;
• Справке Kaspersky Endpoint Agent.

Объекты помещаются на карантин под системной учетной записью (SYSTEM). При восстановлении из карантина файл помещается не в исходное расположение, а в специальную папку на устройстве, из которой вы сможете вручную переместить его в папку назначения.

Чтобы настроить параметры хранения файлов на карантине:

1. В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Политики и профили политик.
2. Нажмите на название политики, параметры которой вы хотите настроить.

   Откроется окно свойств политики.

3. Выберите вкладку Параметры программы.
4. В разделе Репозитории выберите подраздел Карантин и задайте нужные параметры.

Параметры хранения файлов на каратнине недоступны на компьютерах под управлением ОС семейства Linux с установленным приложением Kaspersky Industrial CyberSecurity for Linux Nodes версии 1.5.

[Topic 231338]

Об удалении файла

Одно из возможных действий по реагированию при обнаружении угрозы – удаление файла с устройства.

Подробнее об удаления файлов см. в Справке Kaspersky Endpoint Agent и Справке Kaspersky Industrial CyberSecurity for Linux Nodes.

[Topic 231339]

О запуске проверки важных областей

Одно из возможных действий по реагированию при обнаружении угрозы – запуск проверки важных областей на устройстве.

Вы можете запустить проверку важных областей вручную или задать автоматический запуск проверки в качестве ответных действий на обнаружения.

Подробнее о проверке важных областей см. в Справке Kaspersky Endpoint Agent и Справке Kaspersky Industrial CyberSecurity for Linux Nodes.

[Topic 231340]

О поиске IOC

Индикатор компрометации (англ. Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к устройству (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему. Задача поиска IOC позволяет обнаруживать индикаторы компрометации на устройстве и выполнять действия по реагированию на угрозы.

Для поиска IOC используются

В Kaspersky Industrial CyberSecurity Endpoint Detection and Response предусмотрена задача поиска IOC – групповая или локальная задача, которая создается и настраивается вручную в Kaspersky Security Center Web Console. Для запуска задачи используются IOC-файлы, которые вы подготовили.

При обнаружении IOC на устройстве Kaspersky Industrial CyberSecurity Endpoint Detection and Response выполняет заданное действие по реагированию. Доступны следующие действия по реагированию на обнаруженные IOC:

• Изолировать устройство от сети.
• Запустить проверку важных областей.
• Копию объекта поместить на карантин, объект удалить.

При реагировании на угрозы Kaspersky Industrial CyberSecurity Endpoint Detection and Response может автоматически создавать задачи поиска IOC.

Подробне о создании задачи поиска IOC см. в:

• Справке Kaspersky Security Center Windows;
• Справке Kaspersky Endpoint Agent;
• Справке Kaspersky Industrial CyberSecurity for Linux Nodes.

[Topic 231341]

О запрете запуска объектов

Вы можете настраивать правила запрета запуска исполняемых файлов и скриптов, а также открытия файлов офисного формата на выбранных устройствах. Например, вы можете запретить запуск программ, использование которых вы считаете небезопасным, на выбранном устройстве, защищаемом Kaspersky Industrial CyberSecurity Endpoint Detection and Response. Программа идентифицирует файлы по их пути или контрольной сумме с помощью алгоритмов хеширования MD5 и SHA256.

Правило запрета запуска – это набор критериев, которые учитываются при выполнении блокировки. Объект должен соответствовать всем критериям правила защиты, чтобы программа заблокировала его исполнение.

Kaspersky Industrial CyberSecurity Endpoint Detection and Response предусматривает следующие режимы применения правил запрета запуска:

• Блокирование и запись в отчет. В этом режиме EPP-программа блокирует исполнение объектов или открытие документов, соответствующих критериям правил запрета.
• Только запись события в отчет. В этом режиме EPP-программа публикует в Журнал событий Windows и Kaspersky Security Center событие о попытках исполнения объектов или открытия документов, соответствующих критериям правил запрета, но не блокирует их исполнение или открытие.

Информацию о включении, о доступных для настройки параметрах запрета запуска и об управлении правилами запрета запуска из командной строки см. в Справке Kaspersky Endpoint Agent.

Вы также можете запретить запуск файла из окна деталей обнаружения.

Это действие недоступно на компьютерах под управлением ОС семейства Linux с установленным приложением Kaspersky Industrial CyberSecurity for Linux Nodes версии 1.5.

[Topic 231342]

О запуске и завершении процесса

Задача запуска процесса позволяет удаленно запускать файлы на устройстве. Например, вы можете удаленно запустить утилиту, которая создает файл с конфигурацией компьютера, а затем получить созданный файл с помощью задачи получения файла.

Задача завершения процесса позволяет удаленно завершать процессы на устройстве. Например, вы можете удаленно завершить работу утилиты проверки скорости интернета, которая была запущена с помощью задачи запуска процесса.

Подробнее о настройке параметров задачи запуска процесса и задачи завершения процесса см. в Справке Kaspersky Endpoint Agent и в Справке Kaspersky Industrial CyberSecurity for Linux Nodes.

[Topic 231343]

О получении файла

Задача получения файла позволяет получать файлы с устройств пользователей. Например, вы можете настроить получение файла журнала событий, который создает сторонняя программа. В результате выполнения задачи файл будет сохранен в карантине. Вы можете загрузить этот файл на устройство из карантина в Kaspersky Security Center Web Console. При этом на устройстве пользователя файл остается в исходной папке.

Для получения копии файла вам нужно создать задачу Поместить файл на карантин и в блоке параметров Действия после помещения файла на карантин указать, что файл не нужно удалять при помещении на карантин. Подробнее см. в Справке Kaspersky Endpoint Agent и в Справке Kaspersky Industrial CyberSecurity for Linux Nodes.

Если вы используете приложение Kaspersky Endpoint Security 12.1 для Linux, то в результате выполнениия задачи файл помещается в папку резервного хранилища Kaspersky Security Center.

[Topic 231410]

Работа с деталями обнаружения

Этот раздел содержит информацию о действиях, которые можно выполнять непосредственно из окна деталей обнаружения ("алерт" в Kaspersky Security Center Linux версии 15.1 и выше).

[Topic 231344]

О деталях обнаружения

Детали обнаружения содержат всю доступную информацию об обнаруженной угрозе и позволяют управлять действиями по реагированию на обнаружение.

В деталях обнаружения приведена следующая информация:

• Граф цепочки развития угрозы, который предоставляет визуальную информацию о задействованных объектах, например, о ключевых процессах на устройстве, сетевых соединениях, библиотеках, кустах реестра. Он предназначен для анализа причин появления угрозы.
• Общая информация об обнаружении, включая режим обнаружения (например, обнаружение при проверке по требованию или при автоматической проверке).
• Информация о защищаемом устройстве, на котором произошло обнаружение (например, имя устройства, IP-адрес, MAC-адрес, список пользователей, операционная система).
• Информация об обнаруженном объекте.
• Изменения в реестре, связанные с обнаружением.
• История появления файлов на устройстве.
• Принятые программой ответные действия.

В деталях обнаружения, сформированных приложением Kaspersky Industrial CyberSecurity for Linux Nodes версии 1.5 и выше, также доступна следующая информация:

• Рекомендации по реагированию на обнаружение. Каждая рекомендация снабжена ссылкой, по которой вы можете перейти к применению выбранного способа реагирования.
• Информация о группе доверия, цифровой подписи, распространении файла и другие данные.

  Данный блок информации доступен, если в приложении Kaspersky Industrial CyberSecurity for Linux Nodes на момент регистрации обнаружения включена функция Kaspersky Security Network.

Перечисленные данные указаны на момент обнаружения угрозы. Решение не обновляет перечисленные данные, поэтому они могут отличаться от данных, отображаемых на Kaspersky Threat Intelligence Portal. Для просмотра актуальных данных воспользуйтесь ссылками на данные Kaspersky Threat Intelligence Portal в деталях обнаружения.

Из деталей обнаружения вы можете выполнить следующие действия по реагированию:

• изолировать устройство, на котором произошло обнаружение;
• поместить файл на карантин;

  Это действие недоступно на компьютерах под управлением ОС семейства Linux с установленным приложением Kaspersky Industrial CyberSecurity for Linux Nodes версии 1.5.

• создать задачу поиска IOC;
• запретить запуск обнаруженного файла.

  Это действие недоступно на компьютерах под управлением ОС семейства Linux с установленным приложением Kaspersky Industrial CyberSecurity for Linux Nodes версии 1.5.

Детали обнаружения автоматически удаляются через один месяц после того, как были сформированы.

Если объем информации в деталях обнаружения превышает 100 КБ или если за сутки на устройстве появилось больше двадцати обнаружений, то данные об обнаружении хранятся на этом устройстве локально и для доступа к ним требуется подключение к этому устройству.

[Topic 231411]

Настройка отчета об угрозах для отображения деталей обнаружений

Чтобы настроить возможность перейти в окно деталей обнаружения из отчета об угрозах:

1. В главном окне Kaspersky Security Center Web Console перейдите в раздел Мониторинг и отчеты → Отчеты.
2. В списке отчетов установите флажок для отчета шаблона Отчет об угрозах и нажмите на кнопку Открыть свойства шаблона отчета.
3. В открывшемся окне изменения отчета перейдите на закладку Графы.
4. Убедитесь, что в блоке параметров Детальные данные в списке полей отчета присутствует поле с именем Открыть обнаружение.
5. Если поле Открыть обнаружение отсутствует в списке, выполните следующие действия:
   1. Нажмите на кнопку Добавить.
   2. В правой части окна в раскрывающемся списке выберите поле с именем Открыть обнаружение.
   3. Нажмите на кнопку ОК.
6. Нажмите на кнопку Сохранить.

[Topic 231349]

Просмотр деталей обнаружения

Детали обнаружения доступны в окне со списком обнаружений. Список обнаружений доступен в отчете Отчет об угрозах или в подразделе Обнаружения в разделе Мониторинг и отчеты в Kaspersky Security Center Web Console.

Если вы добавите лицензионный ключ для Kaspersky Industrial CyberSecurity Endpoint Detection and Response, подраздел Обнаружения автоматически отобразится в главном меню в разделе Мониторинг и отчеты. Вы также можете настроить отображение подраздела Обнаружения в свойствах интерфейса в Kaspersky Security Center Windows или Kaspersky Security Center Linux.

Чтобы просмотреть детали обнаружения в разделе Мониторинг и отчеты:

1. В главном окне Kaspersky Security Center Web Console перейдите в раздел Мониторинг и отчеты → Обнаружения.
2. Выберите обнаружение и нажмите на ссылку Подробнее.

   Отобразятся детали обнаружения.

Чтобы просмотреть детали обнаружения в отчете об угрозах:

1. В главном окне Kaspersky Security Center Web Console перейдите в раздел Мониторинг и отчеты → Отчеты.
2. Выберите отчет шаблона Отчет об угрозах и нажмите на кнопку Показать отчет.
3. В окне отчета на вкладке Подробнее выберите обнаружение и нажмите на ссылку Открыть детали обнаружения.

   Отобразятся детали обнаружения.

Чтобы открыть детали обнаружения, Kaspersky Industrial CyberSecurity Endpoint Detection and Response требуется получить данные с устройства, на котором произошло обнаружение. Если данные или устройство недоступны, отобразится сообщение об ошибке. Время ожидания ответа от устройства может занять несколько минут.

О просмотре информации об обнаруженной угрозе в Kaspersky Industrial CyberSecurity for Linux Nodes см. в Справке приложения.

[Topic 231350]

Применение сетевой изоляции к устройству

Чтобы изолировать устройство от сети из окна деталей обнаружения:

1. Откройте окно деталей обнаружения.
2. В блоке Компьютер нажмите на кнопку Изолировать компьютер от сети, чтобы применить сетевую изоляцию к этому устройству.

Читайте в Справке Kaspersky Endpoint Agent о включении и выключении сетевой изоляции на устройстве через Kaspersky Security Center и об управлении сетевой изоляцией.

Читайте в Справке Kaspersky Industrial CyberSecurity for Linux Nodes о включении и выключении сетевой изоляции на устройстве и о настройке исключений из сетевой изоляции.

[Topic 231352]

Помещение файла на карантин из деталей обнаружения

Чтобы поместить файл на карантин из деталей обнаружения:

1. Откройте детали обнаружения.
2. В блоке Файл нажмите на кнопку Поместить на карантин.

   Файл будет удален с устройства, а его копия будет помещена на карантин.

Это действие недоступно на компьютерах под управлением ОС семейства Linux с установленным приложением Kaspersky Industrial CyberSecurity for Linux Nodes версии 1.5.

[Topic 231353]

Создание задачи поиска IOC из деталей обнаружения

Чтобы создать задачу поиска IOC из деталей обнаружения:

1. Откройте детали обнаружения.
2. На закладке Все события обнаружения выберите элементы списка, на основе которых вы хотите создать задачу поиска IOC.
3. Нажмите на кнопку Создать IOC.
4. Выберите условие срабатывания индикатора компрометации:
   • Если вы хотите, чтобы IOC срабатывал при обнаружении любого из выбранных объектов, в правой части экрана выберите ИЛИ.
   • Если вы хотите, чтобы IOC срабатывал только при обнаружении всех выбранных объектов, в правой части экрана выберите И.
5. Выберите действия, которые требуется применять при срабатывании IOC:
   • Изолировать устройство от сети.
   • Запускать проверку важных областей.
   • Копию поместить на карантин, объект удалить.
6. Нажмите на кнопку Создать задачу.

Вы можете просмотреть созданные задачи в разделе Устройства → Задачи.

При создании задачи поиска IOC из деталей обнаружения для выбранного объекта (файла или процесса) будет автоматически создан

[Topic 231355]

Запрет запуска файла из деталей обнаружения

Чтобы правила запрета запуска файла могли применяться на устройстве, на котором произошло обнаружение, к этому устройству должна быть применена активная политика Kaspersky Endpoint Agent для Kaspersky Industrial CyberSecurity Endpoint Detection and Response. Если устройство, на котором произошло обнаружение, не находится под управлением активной политики, то правило запрета запуска не будет создано.

Чтобы запретить запуск файла из деталей обнаружения:

1. Откройте детали обнаружения.
2. В блоке Файл нажмите на кнопку Запретить запуск.

Запуск файла будет запрещен. Правило запрета запуска будет добавлено в политику для группы, в которую входит устройство.

Это действие недоступно на компьютерах под управлением ОС семейства Linux с установленным приложением Kaspersky Industrial CyberSecurity for Linux Nodes версии 1.5.

[Topic 231412]

Мониторинг и отчеты

Для наблюдения за работой решения Kaspersky Industrial CyberSecurity Endpoint Detection and Response доступны следующие возможности:

• виджет EDR-обнаружений;
• список обнаружений;
• отчеты и выборки Kaspersky Security Center.

[Topic 231356]

Добавление виджета EDR-обнаружений

В виджете EDR-обнаружений отображается информация о количестве обнаружений на устройствах за последний месяц. Виджет доступен для отображения на закладке Панель мониторинга в Kaspersky Security Center Web Console. Из виджета вы можете перейти в раздел Обнаружения со списком обнаружений на устройствах.

Чтобы добавить виджет EDR-обнаружений на информационную панель:

1. Перейдите в раздел Мониторинг и отчеты → Панель мониторинга.
2. Нажмите на кнопку Добавить или восстановить веб-виджет.
3. В списке доступных веб-виджетов выберите веб-виджет Обнаружения в категории Статистика угроз.
4. Нажмите на кнопку Добавить.

   Веб-виджет будет добавлен в конец информационной панели.

Подробнее о работе с виджетами см. в Справке Kaspersky Security Center Windows и Справке Kaspersky Security Center Linux.

[Topic 231357]

Просмотр списка обнаружений

Чтобы просмотреть все обнаружения в виде списка,

в Kaspersky Security Center Web Console перейдите в раздел Обнаружения.

Раздел Обнаружения появляется автоматически при активации решения Kaspersky Industrial CyberSecurity Endpoint Detection and Response. Вы также можете включить отображение этого раздела в Kaspersky Security Center Windows или Kaspersky Security Center Linux.

Из списка обнаружений вы можете перейти в детали выбранного обнаружения.

[Topic 231359]

Проверка работоспособности решения на устройствах

Функциональность Kaspersky Security Center позволяет получить информацию о текущем статусе защиты на устройствах и о том, на каких устройства в вашей инфраструктуре не установлена EPP-программа с поддержкой Kaspersky Industrial CyberSecurity Endpoint Detection and Response.

Вы можете получить эту информацию, построив выборку устройств по статусу компонента Kaspersky Industrial CyberSecurity Endpoint Detection and Response.

Чтобы построить выборку устройств по статусу компонента Kaspersky Industrial CyberSecurity Endpoint Detection and Response:

1. В Kaspersky Security Center Web Console перейдите в раздел Устройства → Выборки устройств.
2. Создайте новую выборку устройств со следующим условием:
   1. Выберите раздел Информация о программах "Лаборатории Касперского".
   2. В списке Компоненты программы выберите компонент Endpoint Detection and Response для Kaspersky Endpoint Agent.
   3. В раскрывающемся списке Статус выберите необходимое значение критерия выборки, чтобы отобразить устройства с этим статусом работы.
   4. Нажмите на кнопку Сохранить.

Новая выборка отобразит список устройств с выбранным статусом работы решения Kaspersky Industrial CyberSecurity Endpoint Detection and Response.

[Topic 231360]

Просмотр информации о срабатывании правил запрета запуска

Функциональность Kaspersky Security Center позволяет получить информацию о программах, запуск которых был заблокирован решением Kaspersky Industrial CyberSecurity Endpoint Detection and Response в результате срабатывания правила запрета запуска объектов.

Чтобы просмотреть отчет о программах, запуск которых был запрещен:

1. В Kaspersky Security Center Web Console перейдите в раздел Мониторинг и отчеты → Отчеты.
2. В списке отчетов выберите нужный отчет:
   • Отчет о запрещенных программах – чтобы просмотреть информацию о программах, запуск которых был запрещен в режиме блокирования и записи в отчет.
   • Отчет о запрещенных программах в тестовом режиме – чтобы просмотреть информацию о программах, запуск которых был запрещен в режиме только записи событий в отчет.

[Topic 231361]

Получение списка изолированных устройств

Функциональность Kaspersky Security Center позволяет получить информацию об устройствах, к которым была применена сетевая изоляция.

Вы можете получить эту информацию, построив выборку устройств по тегу ISOLATED FROM NETWORK.

В Kaspersky Security Center Web Console вы можете построить выборку изолированных устройств на физическом Сервере администрирования только после того, как на нем хотя бы один раз была применена сетевая изоляция.

Чтобы построить выборку устройств, изолированных от сети:

1. В Kaspersky Security Center Web Console перейдите в раздел Устройства → Выборка устройств.
2. Создайте новую выборку устройств со следующим условием:
   1. Выберите раздел Теги.
   2. Нажмите на кнопку Добавить и создайте условие выборки всех устройств, обозначенных тегом ISOLATED FROM NETWORK.

Новая выборка отобразит список устройств, изолированных от сети.

[Topic 231364]

Мультитенантность

Режим мультитенантности – это режим работы, при котором решение используется для защиты инфраструктуры нескольких организаций одновременно.

Вы можете использовать Kaspersky Industrial CyberSecurity Endpoint Detection and Response для защиты инфраструктуры нескольких организаций одновременно с помощью Kaspersky Security Center. Для этого вам требуется в рамках физического Сервера администрирования организации-провайдера создать виртуальные Серверы администрирования организаций, для защиты которых вы хотите использовать Kaspersky Industrial CyberSecurity Endpoint Detection and Response. Подробнее о создании виртуальных Серверов администрирования см. в Справке Kaspersky Security Center.

Для каждой

[Topic 70331]

Обращение в Службу технической поддержки

Этот раздел содержит информацию о способах и условиях получения технической поддержки.

[Topic 68247]

Способы получения технической поддержки

Если вы не нашли решения вашей проблемы в документации или других источниках информации о Kaspersky Industrial CyberSecurity Endpoint Detection and Response, рекомендуется обратиться в Службу технической поддержки. Сотрудники Службы технической поддержки ответят на ваши вопросы об установке и использовании Kaspersky Industrial CyberSecurity Endpoint Detection and Response.

Kaspersky предоставляет поддержку Kaspersky Industrial CyberSecurity Endpoint Detection and Response в течение жизненного цикла (см. страницу жизненного цикла приложений). Прежде чем обратиться в Службу технической поддержки, ознакомьтесь с правилами предоставления технической поддержки.

Вы можете связаться со специалистами Службы технической поддержки одним из следующих способов:

• посетить сайт Службы технической поддержки ;
• отправить запрос в Службу технической поддержки "Лаборатории Касперского" с портала Kaspersky CompanyAccount.

[Topic 68417]

Техническая поддержка через Kaspersky CompanyAccount

Kaspersky CompanyAccount – это портал для организаций, использующих приложения "Лаборатории Касперского". Портал Kaspersky CompanyAccount предназначен для взаимодействия пользователей со специалистами "Лаборатории Касперского" с помощью электронных запросов. На портале Kaspersky CompanyAccount можно отслеживать статус обработки электронных запросов специалистами "Лаборатории Касперского" и хранить историю электронных запросов.

Вы можете зарегистрировать всех сотрудников вашей организации в рамках одной учетной записи Kaspersky CompanyAccount. Одна учетная запись позволяет вам централизованно управлять электронными запросами от зарегистрированных сотрудников в "Лабораторию Касперского", а также управлять правами этих сотрудников в Kaspersky CompanyAccount.

Портал Kaspersky CompanyAccount доступен на следующих языках:

• английском;
• испанском;
• итальянском;
• немецком;
• польском;
• португальском;
• русском;
• французском;
• японском.

Вы можете узнать больше о Kaspersky CompanyAccount на веб-сайте Службы технической поддержки.

[Topic 90]

Глоссарий

Endpoint Protection Platform (EPP)

Интегрированная система комплексной защиты конечных устройств (например, мобильных устройств, компьютеров или ноутбуков) с помощью различных технологий безопасности. Пример Endpoint Protection Platform – решение Kaspersky Endpoint Security для бизнеса.

EPP-приложение

Приложение, входящее в состав системы защиты конечных устройств (англ. Endpoint Protection Platform, EPP). EPP-приложения устанавливаются на конечные устройства внутри IT-инфраструктуры организации (например, мобильные устройства, компьютеры или ноутбуки). Примером EPP-приложения является Kaspersky Industrial CyberSecurity for Nodes в составе EPP-решения Kaspersky Endpoint Detection and Response.

IOC

Indicator of Compromise (индикатор компрометации). Набор данных о вредоносном объекте или действии.

IOC-файл

Файл, содержащий набор индикаторов IOC, при совпадении с которыми приложение считает событие обнаружением. Вероятность обнаружения может повыситься, если в результате проверки были найдены точные совпадения данных об объекте с несколькими IOC-файлами.

OpenIOC

Открытый стандарт описания индикаторов компрометации (Indicator of Compromise, IOC), созданный на базе XML и содержащий свыше 500 различных индикаторов компрометации.

Действие по реагированию

Действие по реагированию на инцидент – это структурированная методология обработки инцидентов и нарушений системы безопасности и киберугроз.

Тенант

Тенант – это организация, которой предоставляется решение Kaspersky Industrial CyberSecurity Endpoint Detection and Response.

Целевая атака

Атака, направленная на конкретного человека или организацию. В отличие от массовых атак компьютерными вирусами, направленных на заражение максимального количества компьютеров, целевые атаки могут быть направлены на заражение сети определенной организации или даже одного сервера в IT-инфраструктуре организации. Для каждой целевой атаки может быть написана специальная троянская программа.

[Topic 282622]

Информация о стороннем коде

Информация о стороннем коде содержится в файле legal_notices.txt, расположенном в папке установки каждой из программ, совместимых с решением Kaspersky Industrial CyberSecurity Endpoint Detection and Response.

[Topic 231363]

Уведомления о товарных знаках

Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.

Microsoft и Windows  являются товарными знаками группы компаний Microsoft.