Сценарий: Настройка и использование Endpoint Detection and Response

Для использования Endpoint Detection and Response в автоматическом режиме, его сначала необходимо настроить.

Сценарий состоит из следующих этапов:

1. Настройка Поиска IOC на поиск потенциальных угроз

   Поиск IOC позволяет настроить регулярный поиск индикаторов компрометации (IOC) на устройствах и выполнение автоматических действий по реагированию при обнаружении IOC.

2. Настройка запрета запуска

   Можно задать параметры, в соответствии с которыми Kaspersky Endpoint Security для Windows запрещает запуск определенных объектов (исполняемых файлов и скриптов) или открытие документов Microsoft Office на устройствах пользователей.

3. Просмотр и анализ информации об обнаружениях
4. Выполнение действий по реагированию вручную

   При анализе информации об обнаружениях можно предпринять дополнительные меры или настроить функцию Endpoint Detection and Response:

   • Выполнить вручную определенные действия по реагированию (например, переместить обнаруженный файл в Карантин или изолировать устройство, на котором возникло обнаружение).
   • Добавить обнаруженные индикаторы компрометации в настройки регулярного поиска IOC, чтобы проверять другие устройства на наличие этой угрозы.
   • Добавить обнаруженный объект в список правил запрета запуска, чтобы не допустить его выполнение в дальнейшем на этом же и других устройствах.