Сценарий: Настройка и использование Endpoint Detection and Response
16 августа 2024
ID 231813
Для использования Endpoint Detection and Response в автоматическом режиме, его сначала необходимо настроить.
Сценарий состоит из следующих этапов:
- Настройка Поиска IOC на поиск потенциальных угроз
Поиск IOC позволяет настроить регулярный поиск индикаторов компрометации (IOC) на устройствах и выполнение автоматических действий по реагированию при обнаружении IOC.
- Настройка запрета запуска
Можно задать параметры, в соответствии с которыми Kaspersky Endpoint Security для Windows запрещает запуск определенных объектов (исполняемых файлов и скриптов) или открытие документов Microsoft Office на устройствах пользователей.
- Просмотр и анализ информации об обнаружениях
- Выполнение действий по реагированию вручную
При анализе информации об обнаружениях можно предпринять дополнительные меры или настроить функцию Endpoint Detection and Response:
- Выполнить вручную определенные действия по реагированию (например, переместить обнаруженный файл в Карантин или изолировать устройство, на котором возникло обнаружение).
- Добавить обнаруженные индикаторы компрометации в настройки регулярного поиска IOC, чтобы проверять другие устройства на наличие этой угрозы.
- Добавить обнаруженный объект в список правил запрета запуска, чтобы не допустить его выполнение в дальнейшем на этом же и других устройствах.