Об ответных действиях по командам от решений Detection and Response

Поддержка

Поддержка приложений для бизнеса

Kaspersky Endpoint Security 12 для Linux

Интеграция с решениями Detection and Response

Об ответных действиях по командам от решений Detection and Response

20 августа 2024

ID 197605

Приложение Kaspersky Endpoint Security может выполнять ответные действия, направленные на обеспечение функций безопасности:

При взаимодействии с компонентом решения Kaspersky Anti Targeted Attack Platform – Kaspersky Endpoint Detection and Response (KATA).
При взаимодействии с решением Kaspersky Endpoint Detection and Response Optimum.

Параметры ответных действий Kaspersky Anti Targeted Attack Platform и Kaspersky Endpoint Detection and Response Optimum отличаются.

Приложение Kaspersky Endpoint Security может выполнять следующие ответные действия:

Получать файлы с устройств.
Действие выполняется с помощью задачи Получить файл (Get file task). Например, вы можете настроить получение файла журнала событий, который создает сторонняя программа.
Удалять файлы с устройств.
Действие выполняется с помощью задачи Удалить файл (Delete file task).
Удаленно запускать процессы на устройствах.
Действие выполняется с помощью задачи Запустить процесс (Run process).

Например, вы можете удаленно запустить утилиту, которая создает файл с конфигурацией устройства, а затем получить созданный файл с помощью задачи Получить файл.
Удаленно завершать процессы на устройствах.
Действие выполняется с помощью задачи Завершить процесс (Terminate process).

Например, вы можете удаленно завершить работу утилиты проверки скорости интернета, которая была запущена с помощью задачи запуска процесса.
Обнаруживать индикаторы компрометации на устройствах и выполнять действия по реагированию на угрозы.
Индикатор компрометации (Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к устройству (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему.

Действие выполняется с помощью задачи Поиск IOC (IOC Scan).

При выполнении задачи Поиск IOC проверка по IOC-терминам (свойствам IOC-объекта, например, хеш-сумме файла) выполняется только в основном пространстве имен операционной системы. Задача Поиск IOC не вычисляет хеш-суммы файлов размером более 200 МБ.
Включать и выключать сетевую изоляцию устройства.
При взаимодействии Kaspersky Endpoint Security с Kaspersky Endpoint Detection and Response Optimum вы можете:
- Включать и выключать сетевую изоляцию в Web Console.
- Выключать сетевую изоляцию в командной строке.
- Настроить автоматическое выключение сетевой изоляции в Web Console.
При взаимодействии Kaspersky Endpoint Security с Kaspersky Endpoint Detection and Response (KATA) вы можете:
- Выключать сетевую изоляцию в командной строке.
- Включать и выключать сетевую изоляцию на стороне решения Kaspersky Endpoint Detection and Response (KATA).
  Подробнее о решении см. в справке Kaspersky Anti Targeted Attack Platform.

Ограничения сетевой изоляции

При использовании сетевой изоляции настоятельно рекомендуется ознакомиться с ограничениями, описанными ниже.

Для работоспособности сетевой изоляции требуется, чтобы приложение Kaspersky Endpoint Security было запущено. Во время сбоя в работе приложения Kaspersky Endpoint Security (когда приложение не запущено), блокировка трафика при включении сетевой изоляции решением Kaspersky Anti Targeted Attack Platform или Kaspersky Endpoint Detection and Response Optimum не гарантируется.

Транзитный трафик при включенной сетевой изоляции поддерживается с ограничениями и может фильтроваться.

DHCP и DNS в исключения из сетевой изоляции автоматически не добавляются, поэтому если сетевой адрес какого-то ресурса был изменен во время сетевой изоляции, приложение Kaspersky Endpoint Security не сможет получить к нему доступ. Это же относится к узлам отказоустойчивого сервера KATA. Не рекомендуется менять их адреса, чтобы приложение Kaspersky Endpoint Security не потеряло с ними связь.

Прокси-сервер также в исключения из сетевой изоляции автоматически не добавляется, поэтому требуется добавить его в исключения вручную, чтобы приложение Kaspersky Endpoint Security не потеряло связь с сервером KATA.

Добавление процесса в сетевую изоляцию и исключение процесса из сетевой изоляции по имени не поддерживается.

Если приложение Kaspersky Endpoint Security используется в стандартном режиме, при использовании сетевой изоляции рекомендуется:

Использовать прокси-сервер KSN для взаимодействия с Kaspersky Security Network.
Использовать Kaspersky Security Center в качестве прокси-сервера для активации приложения.
В случае невозможности использования Kaspersky Security Center в качестве прокси-сервера настройте параметры нужного прокси-сервера и добавьте его в исключения.
Указать Kaspersky Security Center в качестве источника обновлений баз.

Эти рекомендации неприменимы, если приложение Kaspersky Endpoint Security используется в режиме Легкого агента.

Kaspersky Endpoint Security для Linux — надежная защита без ущерба для производительности

Обнаруживает и блокирует даже продвинутые угрозы. Купите в составе Endpoint Security для бизнеса Расширенный.

Расширенная техническая поддержка (MSA) — приоритетная обработка инцидентов

Поддержка по телефону или через веб‑портал. Быстрое реагирование, мониторинг и проверка. Подайте заявку и активируйте контракт.

Вам помогла эта статья?

Что нам нужно улучшить?

Спасибо за ваш отзыв, вы помогаете нам становиться лучше!