Kaspersky EDR для вашего бизнеса
Давно прошли те времена, когда для проведения сложной хакерской атаки необходимо было привлекать серьезные ресурсы и компетентных специалистов. Сейчас продвинутое вредоносное ПО можно без особых усилий приобрести в даркнете, а то и вообще арендовать на время по модели MaaS (Malware-as-a-service).
Создатели таких сервисов не только предлагают своим клиентам удобную консоль управления инструментами для несанкционированного вторжения в чужую ИТ-инфраструктуру, но и всегда готовы оказать техническую поддержку, если пользователь сервиса «путается в педалях». Эта практика сделала порог применения сложных целевых атак минимальным, причем целью нападающих, как правило, становятся те, с кого есть что взять. И это, конечно, в первую очередь компании.
Решения класса EDR
Шквал целевых атак привел к появлению особого типа инструментов обеспечения информационной безопасности, получивших название EDR (Endpoint Detection and Response). Активность EDR направлена на защиту конечных узлов корпоративной сети, которые чаще всего и становятся входными воротами атаки. Главными задачами EDR является обнаружение признаков вторжения, формирование автоматического ответа на атаку, предоставление специалистам возможности оперативно определить масштаб угрозы и ее источник, а также собрать данные для последующего расследования инцидента.
Функциональность EDR основана на способности этого типа ПО проводить подробный анализ событий и проактивный поиск угроз, автоматизировать повторяющиеся повседневные задачи по защите, проводить централизованный сбор данных мониторинга состояния конечных устройств. Все это помогает поднять производительность труда специалистов по ИБ, работающих, например, в SOC (Security operations center) крупной компании.
Kaspersky Endpoint Detection and Response
Несколько лет назад «Лаборатория Касперского» вышла на рынок EDR с собственным решением Kaspersky Endpoint Detection and Response (KEDR), которое успело заработать себе хорошую репутацию в глазах отраслевых экспертов. Компании, серьезно заботящиеся об информационной безопасности, как правило применяют KEDR в составе комплексного решения, в которое входят собственно сам KEDR, платформа Kaspersky Anti Targeted Attack (KATA) и сервис Managed Detection and Response (MDR).
Такая связка позволяет специалистам по кибербезопасности эффективно противостоять самым продвинутым и передовым типам современных атак. Как правило, к подобным решениям прибегают организации уровня Enterprise имеющие собственный SOC или хотя бы отдельный небольшой департамент безопасности. Стоимость необходимых лицензий на ПО и сервисы достаточно высока, но если речь идет, например, о банке национального масштаба, то потенциальные риски многократно превышают расходы на обеспечение ИБ.
Оптимальный EDR для среднего бизнеса
Зачастую компании среднего размера не могут позволить себе содержать собственный SOC или держать в штате несколько профильных специалистов. При этом они, конечно же, также заинтересованы в возможностях, предоставляемых решениями EDR. Специально для таких клиентов «Лаборатория Касперского» совсем недавно выпустила продукт «Kaspersky EDR для бизнеса ОПТИМАЛЬНЫЙ».
Всего за полгода данный продукт снискал заслуженную популярность. Он является частью т.н. «Оптимального фреймворка ИТ-безопасности», разработанного вендором именно для заказчиков, которые не могут позволить себе дорогостоящие специализированные программы для борьбы со сложными кибератаками.
Помимо вышеупомянутого «Kaspersky EDR для бизнеса ОПТИМАЛЬНЫЙ», включающего технологии класса EPP (Endpoint Protection Platform) и базовые технологии EDR, в состав фреймворка входят также инструмент Kaspersky Sandbox и сервис Kaspersky MDR Optimum.
Перечислим ключевые возможности «Kaspersky EDR для бизнеса ОПТИМАЛЬНЫЙ». Основной его функцией является мониторинг конечных устройств, обнаружение возникающих угроз и сбор сведений о них.
Для каждого выявленного инцидента составляется граф развития атаки, дополненный информацией об устройстве и активности его операционной системы. Для поиска угроз или следов прежних атак продукт может использовать индикаторы компрометации (IoC), выявленные в ходе проведенного расследования или загруженные из внешних источников.
Реакция защитных механизмов на выявленную угрозу может быть настроена исходя из характера атаки: изоляция сетевых хостов, карантин или удаление зараженных объектов файловой системы, блокирование или запрет на запуск определенных процессов в операционной системе и пр.
Функциональность продукта может быть существенно расширена, благодаря средствам интеграции с другими продуктами «Лаборатории Касперского» — облачным сервисом Kaspersky Security Network, информационной системой Kaspersky Threat Intelligence Portal и базой данных Kaspersky Threats. Данные технологии и сервисы входят в стоимость лицензии (KSN) или предоставляются бесплатно (OpenTIP, Kaspersky Threats).
Архитектура и развертывание
Для развертывания в корпоративной сети «Kaspersky EDR для бизнеса ОПТИМАЛЬНЫЙ» не требуется больших вычислительных ресурсов. На всех конечных устройствах должен быть установлен Kaspersky Endpoint Security с включенным компонентом Endpoint Agent, совместимый с любыми операционными системами Windows, начиная с Windows 7 SP1/Windows Server 2008 R2 и занимающий не более 2 Гбайт дискового пространства. Для его полноценной работы достаточно одноядерного процессора с тактовой частотой 1,4 ГГц и 1 Гбайт (x86), 2 Гбайт (x64) оперативной памяти.
Несколько выше системные требования к компьютеру, с которого будет осуществляться управление решением. Речь идет о локальном сервере Kaspersky Security Center, оснащенном консолью администрирования, но можно воспользоваться и облачным сервисом Kaspersky Security Center Cloud Console. В обоих случаях доступ к управлению продуктом осуществляется через веб-браузер. Для работы локального сервера Kaspersky Security Center потребуется доступ к СУБД Microsoft SQL Server или MySQL.
Развертывание Kaspersky Security Center происходит при помощи мастера инсталляции и не занимает много времени. В процессе установки создается папка для хранения установочных пакетов и обновлений, а также конфигурируется сервер администрирования.
Установка Kaspersky Endpoint Security с включенным компонентом Endpoint Agent выполняется централизованно, при помощи мастера развертывания защиты. В процессе инсталляции администратору предлагается определить перечень защищаемых хостов, скачать установочные файлы, настроить политику уведомлений о событиях безопасности и пр. После этого, собственно, начнется развертывание в соответствии с выбранными опциями.
Альтернативным способом распространения Kaspersky Endpoint Security с включенным компонентом Endpoint Agent по сети может быть использование групповых политик Windows.
С выходом «Kaspersky EDR для бизнеса ОПТИМАЛЬНЫЙ» компании получили возможность использовать современные инструменты обнаружения и реагирования на угрозы без необходимости инвестирования в собственную службу ИБ.
Решение вполне может обслуживаться силами системных администраторов заказчика, для повышения квалификации которых «Лаборатория Касперского» подготовила соответствующие тренинги.
Endpoint Detection & Response (EDR)
Endpoint Detection & Response (EDR) — класс решений для обнаружения и изучения вредоносной активности на конечных точках: подключенных к сети рабочих станциях, серверах, устройствах Интернета вещей и так далее. В отличие от антивирусов, задача которых — бороться с типовыми и массовыми угрозами, EDR-решения ориентированы на выявление целевых атак и сложных угроз. При этом EDR-решения не могут полностью заменить антивирусы (EPP), поскольку эти две технологии решают разные задачи.
Архитектура EDR-решений
В общем случае система класса Endpoint Detection & Response состоит из агентов, устанавливаемых на конечные точки, и серверной части. Агент ведет мониторинг запущенных процессов, действий пользователя и сетевых коммуникаций и передает информацию на локальный сервер или в облако.
Серверный компонент анализирует полученные данные при помощи технологий машинного обучения, сопоставляет их с базами индикаторов компрометации (IoC) и другой доступной информацией о сложных угрозах. Если EDR-система обнаруживает событие с признаками киберинцидента, она оповещает об этом сотрудников службы безопасности.
Возможности EDR-продуктов
Большинство современных EDR-решений могут:
Продукты типа Endpoint Detection & Response позволяют ИБ-специалистам выполнять проактивный поиск угроз (Threat Hunting), анализируя нетипичное поведение и подозрительную активность.
Публикации на схожие темы
Простая защита от сложных атак
Защита под ключ как сервис
Стратегия защиты для крупного бизнеса
Обход обнаружения в CLR: пример атаки и способы ее выявления
Лето 2021: Friday Night Funkin’, Måneskin и поп-ит
Дети в интернете 2021: творчество без границ
Обзор Kaspersky Endpoint Detection and Response для бизнеса Оптимальный
Мы протестировали решение «Kaspersky EDR для бизнеса Оптимальный» от «Лаборатории Касперского», которое предоставляет администраторам безопасности удобный инструментарий для работы с инцидентами в сфере ИБ, включая выявление массовых атак и вредоносных действий, ускользающих от обнаружения, их визуализацию для дальнейшего расследования и анализа первопричин и путей распространения, автоматическое создание IoC-файлов или их импортирование, а также возможности практически моментального реагирования в случае выявления угроз, в том числе — по сетевой изоляции хоста и блокировке запуска файлов.
Сертификат AM Test Lab
Номер сертификата: 303
Дата выдачи: 16.09.2020
Срок действия: 16.09.2025
Введение
По результатам исследования, проведённого «Лабораторией Касперского», в 2019 году доля фишинговых атак только в финансовом секторе по отношению ко всем зафиксированным случаям фишинга возросла с 44,7 % до 51,4 %. Помимо финансового и банковского секторов основными целями кибернападений являются государственные учреждения и промышленные предприятия. Организации, относящиеся к данным категориям, являются субъектами критической информационной инфраструктуры (КИИ) в соответствии с Федеральным законом № 187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации». По сведениям Министерства иностранных дел России, с начала 2020 года было выявлено более миллиарда атак только в отношении объектов КИИ.
Для защиты от сложных угроз и целевых атак крупные организации, выбирающие защиту от «Лаборатории Касперского», обычно применяют Kaspersky Anti Targeted Attack Platform, а для анализа событий по безопасности на конечных точках — решение Kaspersky Endpoint Detection and Response. Однако малым и средним компаниям оно может показаться дорогостоящим, тем более что часть его функциональности иногда не востребованна подобными предприятиями при выявлении, расследовании и обработке свойственных им киберинцидентов. Такие организации чаще всего используют для защиты рабочих мест продукт Kaspersky Endpoint Security для Windows. Впрочем, зачастую для противостояния более сложным современным угрозам им требуется базовая функциональность систем класса EDR, обеспечивающая лучшую видимость обнаружений, а также возможности для дальнейшего анализа и реагирования на угрозы.
В связи с этим «Лаборатория Касперского» решила дополнить линейку Kaspersky Security для бизнеса, представив «Kaspersky EDR для бизнеса Оптимальный», который включает в себя не только технологии защиты конечных устройств, доступные в продукте «Kaspersky Endpoint Security для бизнеса Расширенный», но и упомянутую выше базовую функциональность EDR: возможности по анализу обнаруженных угроз, реагированию на них и предотвращению подобных происшествий в будущем. Если в инфраструктуре компании уже развёрнут «Стандартный» или «Расширенный» уровень линейки, то переход на «Оптимальный» не потребует значительных усилий.
Функциональные возможности «Kaspersky EDR для бизнеса Оптимальный»
«Kaspersky EDR для бизнеса Оптимальный» предназначен для выявления и расследования кибератак, реагирования на них, а также предоставляет инструментарий для работы с инцидентами в сфере информационной безопасности.
К основным возможностям «Kaspersky EDR для бизнеса Оптимальный» относятся:
Рисунок 1. Архитектура работы решения «Kaspersky EDR для бизнеса Оптимальный» совместно с Kaspersky Sandbox
Архитектура решения «Kaspersky EDR для бизнеса Оптимальный»
«Kaspersky EDR для бизнеса Оптимальный» включает в себя компонент Endpoint Agent, который устанавливается на рабочие станции в составе платформы защиты конечных точек Kaspersky Endpoint Security. Первоначальное развёртывание агентов и дальнейшая настройка осуществляются в привычной локальной консоли Kaspersky Security Center. Агентское приложение запускается на рабочих местах сотрудников компании или серверах под управлением операционных систем семейства Microsoft Windows.
Возможности решения могут быть расширены за счёт технологий песочницы Kaspersky Sandbox, которая выполняет дополнительную проверку подозрительных объектов путём анализа угроз нулевого дня (0-day) и других вредоносных сущностей, ускользающих от обнаружения, в изолированной среде. Эта функциональность может быть добавлена посредством приобретения лицензии Kaspersky Sandbox.
Таким образом, решение «Kaspersky EDR для бизнеса Оптимальный» может состоять из следующих компонентов:
Системные требования «Kaspersky EDR для бизнеса Оптимальный»
«Kaspersky EDR для бизнеса Оптимальный» не нуждается в большом количестве ресурсов; требования к ним — такие же, как у Kaspersky Endpoint Security и Kaspersky Security Center. Соответственно, при наличии этих средств защиты в инфраструктуре организации выделять дополнительные мощности под «Kaspersky EDR для бизнеса Оптимальный» не понадобится. Минимальные аппаратные требования для агентов и консолей управления приведены в таблицах ниже.
Таблица 1. Минимальные аппаратные требования для установки агента «Kaspersky EDR для бизнеса Оптимальный»
| Параметр | Значение |
| Процессор | 1,4 ГГц (одноядерный) |
| Оперативная память | 256 / 512 МБ для 32-разрядной / 64-разрядной операционной системы |
| Объём свободного места на диске | 500 МБ |
Таблица 2. Минимальные требования к установке консолей для управления «Kaspersky EDR для бизнеса Оптимальный»
| Параметр | Значение | |
| Kaspersky Security Center | Kaspersky Security Center Cloud Console | |
| Процессор | 1 ГГц | Необходимые для работы браузера |
| Оперативная память | 4 ГБ | |
| Объём свободного места на диске | 10—100 ГБ | |
| Программные требования | Microsoft Data Access Components (MDAC) 2.8; Microsoft Windows DAC 6.0; Microsoft Windows Installer 4.5 | Наличие браузера: Mozilla Firefox 68 / Google Chrome 75 / Safari 12 |
Перечень поддерживаемых «Kaspersky EDR для бизнеса Оптимальный» операционных систем:
Установка и первоначальная настройка «Kaspersky EDR для бизнеса Оптимальный»
Установка «Kaspersky EDR для бизнеса Оптимальный» не отличается от процесса внедрения Kaspersky Endpoint Security для Windows. Организациям, где данные продукты уже установлены, для получения возможности работать с инцидентами или IoC-файлами потребуется только добавить соответствующую лицензию.
Установка Kaspersky Security Center
В первую очередь потребуется запустить инсталляционный пакет и проследовать указаниям мастера установки.
Рисунок 2. Схема развёртывания Kaspersky Security Center
Далее происходит выбор варианта установки — стандартная или выборочная. При выборочной инсталляции мастер запрашивает примерное количество устройств, которыми планируется управлять.
Для работы Kaspersky Security Center требуется подключение к системе управления базами данных, параметры которого следует указать во время установки. Для администратора доступны два варианта подключения — к Microsoft SQL Server и к MySQL.
Рисунок 3. Параметры подключения к СУБД MySQL в процессе установки Kaspersky Security Center
Рисунок 4. Параметры подключения к СУБД Microsoft SQL Server в процессе установки Kaspersky Security Center
После успешного создания базы данных автоматически регистрируются новые учётные записи, от имени которых Kaspersky Security Center будет запускать собственные службы. Можно указать уже зарегистрированные служебные «учётки» — при их наличии.
В заключение создаётся (или указывается) папка общего доступа, которая предназначена для хранения установочных пакетов и пакетов обновлений продуктов «Лаборатории Касперского», а также настраиваются параметры сервера администрирования — его адрес, порты для подключения, длина ключа шифрования.
Рисунок 5. Стартовая страница веб-консоли Kaspersky Security Center
Стоит отметить, что установка веб-консоли Kaspersky Security Center выбирается опционально в мастере установки или осуществляется дополнительно либо на сам узел Kaspersky Security Center, либо на выделенный сервер. После установки веб-консоль Kaspersky Security Center будет доступна по адресу https:// :8080.
Установка Kaspersky Endpoint Agent
По завершении установки Kaspersky Security Center запускается мастер развёртывания защиты. С его помощью администратор может выполнить ряд подготовительных действий:
После выполнения этих действий можно запустить созданную задачу по установке. Стоит обратить внимание на то, что для использования возможностей «Kaspersky EDR для бизнеса Оптимальный» необходимо установить Kaspersky Endpoint Security 11.4 (и новее) для Windows с компонентом Endpoint Agent.
Рисунок 6. Параметры задачи удалённой установки в интерфейсе веб-консоли Kaspersky Security Center
Кроме того, в настройках можно указать необходимость автоматического удаления программ, несовместимых с устанавливаемыми продуктами (различные версии средств антивирусной защиты других производителей).
Существуют и другие способы развёртывания «Kaspersky EDR для бизнеса Оптимальный»:
Рисунок 7. Перечень задач в интерфейсе веб-консоли Kaspersky Security Center
Сценарии использования «Kaspersky EDR для бизнеса Оптимальный»
Анализ информации о вредоносных программах в «Kaspersky EDR для бизнеса Оптимальный»
При обнаружении вредоносной программы на рабочей станции в Kaspersky Endpoint Security создаётся событие по информационной безопасности, которое можно также увидеть в отчёте «Kaspersky EDR для бизнеса Оптимальный». Помимо общих сведений о вредоносном объекте там доступны дополнительные данные о происшествии. Также вся информация размещается в карточке инцидента.
Рисунок 8. Отчёт «Kaspersky EDR для бизнеса Оптимальный» в консоли Kaspersky Security Center
Карточка инцидента доступна из веб-консоли Kaspersky Security Center. В ней можно выполнять следующие действия:
Рисунок 9. Карточка инцидента в «Kaspersky EDR для бизнеса Оптимальный»
В верхней части карточки инцидента находится граф распространения угрозы на рабочей станции, с помощью которого можно увидеть, какие действия выполняла вредоносная программа и как развивалась атака на анализируемом компьютере. В проиллюстрированном выше случае на заражённом устройстве были созданы 2 временных файла и 2 процесса.
Рисунок 10. События инцидента в «Kaspersky EDR для бизнеса Оптимальный»
В дополнение к детектирующей и превентивной функциональности Kaspersky Endpoint Security для бизнеса «Kaspersky EDR для бизнеса Оптимальный» позволяет проанализировать расширенную информацию по обнаружению, такую как данные о файле, пользователе или хосте, а также параметры запуска вредоносного файла (в примере — команда PowerShell), которые можно в дальнейшем декодировать и проанализировать.
Создание индикаторов компрометации в «Kaspersky EDR для бизнеса Оптимальный»
Ввиду того что злоумышленники могут выбрать тактику заражения как можно большего количества хостов, в «Kaspersky EDR для бизнеса Оптимальный» предусмотрена возможность создания индикаторов компрометации или IoC-файлов.
В «Kaspersky EDR для бизнеса Оптимальный» есть три способа создания IoC: импортировать, создать вручную или сгенерировать на основании событий или файлов в процессе расследования.
Для импортирования индикаторов компрометации администратор может загрузить данные, полученные из других источников (например, ФинЦЕРТ), или подготовить их самостоятельно. Основное требование в данных случаях — это поддержка стандарта OpenIOC. В документации на «Kaspersky EDR для бизнеса Оптимальный» имеется подробное руководство по теме индикаторов компрометации, включая таблицу со списком IoC-терминов стандарта OpenIOC, которые поддерживаются Kaspersky Endpoint Agent.
Рисунок 11. Создание индикаторов компрометации в «Kaspersky EDR для бизнеса Оптимальный»
«Kaspersky EDR для бизнеса Оптимальный» также поддерживает возможность автоматического создания индикаторов компрометации после обнаружения угроз с помощью Kaspersky Sandbox (при наличии песочницы).
Данное решение позволяет администратору самостоятельно подготовить индикаторы компрометации, которые будут использоваться в дальнейшей работе, или же сгенерировать их в процессе расследования в несколько щелчков мышью. Сценарий поиска IoC из инцидента даёт возможность выявить угрозу сразу на всех машинах сети — в том числе на тех, где остановлена часть компонентов защиты или же полностью отключён Kaspersky Endpoint Security.
После запуска поиска индикаторов администратор безопасности сможет просмотреть перечень рабочих станций, на которых были найдены файлы с указанными хеш-суммами. В случае выявления признаков компрометации решение «Kaspersky EDR для бизнеса Оптимальный» позволяет в автоматизированном режиме реализовать различные варианты реагирования: от помещения вредоносных файлов на карантин до сетевой изоляции поражённых устройств.
На рисунке ниже представлен скриншот события в «Kaspersky EDR для бизнеса Оптимальный». Стоит отметить, что решение предоставляет детальную информацию по всем собранным событиям операционной системы, связанным с инцидентом.
Рисунок 12. Сведения о процессе, запущенном вредоносным объектом, в «Kaspersky EDR для бизнеса Оптимальный»
Из карточки инцидента можно сразу открыть страницу портала киберразведки (Threat Intelligence Portal) от «Лаборатории Касперского», где доступна дополнительная информация по вредоносному файлу. Для этого нужно нажать на хеш-сумму файла.
Рисунок 13. Портал Threat Intelligence Portal от «Лаборатории Касперского»
Карантин вредоносного файла в «Kaspersky EDR для бизнеса Оптимальный»
Полезной возможностью «Kaspersky EDR для бизнеса Оптимальный» может оказаться отправка файлов в карантин. Это также можно сделать из карточки инцидента. При нажатии кнопки «Поместить на карантин» создаётся соответствующая задача, после выполнения которой вредоносный файл будет помещён в защищённое хранилище. Это позволяет в дальнейшем работать с данным файлом через консоль Kaspersky Security Center — например, скачать его для проведения исследования.
Рисунок 14. Карточка инцидента в «Kaspersky EDR для бизнеса Оптимальный»
Сетевая изоляция устройства в «Kaspersky EDR для бизнеса Оптимальный»
В «Kaspersky EDR для бизнеса Оптимальный» предусмотрено два сценария сетевой изоляции — вручную и в автоматизированном режиме. При выявлении угроз информационной безопасности программный комплекс оборвёт сетевые соединения между заражённым хостом и сетью компании. Останутся только те, которые администратор заранее добавил в исключения, а также необходимые для взаимодействия с другими продуктами «Лаборатории Касперского» (в том числе для управления агентом Kaspersky Endpoint Agent). Добавление исключений позволит при необходимости вернуть сетевое взаимодействие с хостом из консоли управления Kaspersky Security Center.
Рисунок 15. Добавление исключений сетевой изоляции в «Kaspersky EDR для бизнеса Оптимальный»
Полезной является возможность оповещения пользователя о том, что его компьютер изолирован от сети компании. В критической ситуации такое оповещение позволит успокоить сотрудника и при этом снизить нагрузку на внутреннюю поддержку.
Рисунок 16. Параметры настройки сетевой изоляции устройства в «Kaspersky EDR для бизнеса Оптимальный»
Запрет запуска файлов в «Kaspersky EDR для бизнеса Оптимальный»
На устройствах с Kaspersky Endpoint Agent имеется возможность запретить запуск файлов, в том числе исполняемых, скриптовых и офисных (документов). Для использования данного механизма администратор может в первую очередь настроить применение запрещающих правил в режиме сбора статистики. Тогда «Kaspersky EDR для бизнеса Оптимальный» будет только регистрировать попытки запуска приложений и открытия документов.
По завершении первого этапа рекомендуется включать активный режим, который не позволит пользователям открывать запрещённые файлы. Добавление хешей запрещённых файлов может производиться как вручную, так и из карточки инцидента одним щелчком. При попытке выполнить такое действие сотруднику будет направляться уведомление.
Рисунок 17. Параметры настройки запрета запуска файлов в «Kaspersky EDR для бизнеса Оптимальный»
Выводы
«Kaspersky EDR для бизнеса Оптимальный» подойдёт тем организациям, которые уже используют продукты «Лаборатории Касперского» для обеспечения безопасности конечных устройств и / или нуждаются в усиленной защите последних с возможностями по расследованию инцидентов в сфере защиты информации, а также по реагированию на них (например, для выполнения требований регуляторов).
Разработчики «Kaspersky EDR для бизнеса Оптимальный» хорошо продумали те действия, которые выполняют администраторы безопасности в «боевой» среде. Например, возможность изолировать устройство в случае его заражения не позволит вредоносным программам распространиться по внутренней сети компании и вывести из строя критически значимые ресурсы. Реагирование может осуществляться одним кликом или в автоматизированном режиме при поиске IoC. Кроме того, администратору безопасности будет доступна возможность запрета запуска исполняемых файлов или документов в автоматизированном режиме. «Kaspersky EDR для бизнеса Оптимальный» имеет функцию поиска индикаторов компрометации и поддерживает возможность создавать собственные IoC-файлы. Работа с карточками инцидентов снижает временные затраты на выяснение причин инцидента и его последствий.
Другими словами, «Kaspersky EDR для бизнеса Оптимальный» решает множество задач в рамках процесса защиты инфраструктуры организации от компьютерных атак и в то же время помогает выполнить требования нормативных актов, в том числе предписаний ФСТЭК России по защите объектов критической информационной инфраструктуры (организация процесса реагирования на ИБ-инциденты в соответствии с требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утверждёнными приказом ФСТЭК России № 239 от 25.12.2017).
Достоинства:
Недостатки:
