- «kaspersky edr для бизнеса оптимальный»
- Kaspersky edr
- Актуальность применения edr-решений
- Архитектура kes edr
- Детальное сравнение kaspersky edr и «kaspersky edr для бизнеса оптимальный»
- Сценарии использования kes edr
- Настройка интеграции kaspersky endpoint agent c kaspersky managed detection and response
- Справка kaspersky endpoint agent
«kaspersky edr для бизнеса оптимальный»
«Kaspersky EDR для бизнеса Оптимальный» разработан с учётом потребностей компаний малого и среднего бизнеса, которые только вступили в игру и пока не могут позволить себе приобретение и обслуживание мощного инструментария, но ощущают потребность в базовой EDR-функциональности, которая позволила бы контролировать информационную инфраструктуру рабочих мест организации и обеспечила бы необходимую скорость реакции на возможные инциденты.
Этот продукт сочетает в себе возможности решений класса Endpoint Protection Platform (EPP) и базовые функции Endpoint Detection and Response (EDR), предоставляя расширенный спектр инструментов для анализа информации с конечных рабочих станций и серверов организации.
Рисунок 2. Схема работы решения «Kaspersky EDR для бизнеса Оптимальный»
К преимуществам этого решения можно отнести относительную простоту использования, поскольку оно работает совместно с «Kaspersky Endpoint Security для бизнеса Расширенный» и управляется из единой консоли Kaspersky Security Center. Дополнительно «Kaspersky EDR для бизнеса Оптимальный» может быть усилен песочницей Kaspersky Sandbox, в которую автоматически отправляются подозрительные файлы для анализа. Предусмотрен механизм передачи информации об обнаружениях и срабатываниях из единой консоли KSC в SIEM-системы.
Также достоинством для небольших организаций можно назвать крайне низкие требования к аппаратному обеспечению. Главное ограничение — недоступность ретроспективного анализа и проактивного поиска угроз, вызванная отсутствием функциональности по хранению «сырой» телеметрии с конечных устройств за весь период их мониторинга.
В то же время система собирает с агентов на рабочих станциях информацию о срабатываниях и позволяет просмотреть сведения о том, что происходило на устройстве, проанализировать базовый граф цепочки развития угрозы. На основе анализа собранных данных администратор безопасности организации через консоль может выполнить действия по реагированию: поместить заражённые объекты на карантин или удалить их, запретить запуск файлов (в том числе исполняемых), изолировать заражённую машину, осуществить из полученного срабатывания настройку индикаторов компрометации (IoC) и дальнейший поиск по ним, применить правило реагирования.
Рисунок 3. Детализация обнаружения угрозы в «Kaspersky EDR для бизнеса Оптимальный»
В отличие от Kaspersky EDR в этом решении отсутствуют возможность взаимодействия с платформой KATA, поддержка работы с EPP-решениями сторонних производителей, хранение «сырой» телеметрии, детектирование на основе тактик и техник злоумышленников, обогащение данными из матрицы MITRE ATT&
Рисунок 4. Анализ первопричин в «Kaspersky EDR для бизнеса Оптимальный»
В «Kaspersky EDR для бизнеса Оптимальный» также отсутствует механизм автоматического создания политик, поэтому все исключения администратору безопасности необходимо указывать вручную, устанавливая их заранее либо по результатам рассмотрения инцидента.
Рисунок 5. Добавление исключения сетевой изоляции в «Kaspersky EDR для бизнеса Оптимальный»
Продукт зарегистрирован в реестре российского программного обеспечения, однако его приобретению организациями государственного сектора может помешать отсутствие сертификатов регуляторов в сфере информационной безопасности. На момент написания статьи ведутся работы по сертификации.
Kaspersky edr
Данное решение предоставляет более широкий спектр инструментов для анализа инцидентов, а при интеграции с KATA превращается во многофункциональное средство противодействия целенаправленным атакам как на уровне рабочих мест и серверов, так и на уровне сети, но, в свою очередь, требует более серьёзного подхода к аппаратному обеспечению и более квалифицированного персонала.
Рисунок 6. Схема работы решения Kaspersky EDR
Рисунок 7. Схема централизованного реагирования на инциденты в Kaspersky EDR
Kaspersky EDR поддерживает работу с EPP-решениями сторонних производителей, а также работает со встроенной песочницей, обеспечивающей более глубокий анализ запускаемых приложений в сравнении с Kaspersky Sandbox, и сопоставляет события с матрицей тактик и техник злоумышленников MITRE ATT&CK для детального расследования.
Рисунок 8. Результат проверки файла в песочнице Kaspersky EDR
Рассматриваемое решение поддерживает взаимодействие с сетевыми сенсорами в составе платформы KATA, анализ сетевого, почтового и веб-трафика; также присутствует возможность взаимодействия с SIEM-системами. Для дальнейшего блокирования вредоносных действий сформированные вердикты могут направляться в экземпляры Kaspersky Security для почтовых серверов и для интернет-шлюзов, выполняющие роль сенсоров и позволяющие автоматически реагировать на найденные платформой KATA более сложные угрозы на сетевом уровне, а также взаимодействовать со сторонними сетевыми устройствами.
Интеграция Kaspersky EDR с SIEM-системами помогает последним в отсеивании нерелевантных событий для последующей корреляции с иными источниками данных и дальнейшего расследования, тем самым предоставляя сведения о тех обнаруженных угрозах, на которые действительно необходимо обращать внимание.
Рисунок 9. Интеграция с SIEM-системой в Kaspersky EDR
Что касается сбора данных с сетевых сенсоров, то решение Kaspersky EDR в составе платформы KATA позволяет дополнять информацию об инцидентах сведениями по сетевому трафику, выявляя подозрительную активность по сетевым протоколам и при необходимости анализируя объекты, обнаруженные как сторонними системами, так и другими продуктами «Лаборатории Касперского».
Рисунок 10. Информация об обнаружении в Kaspersky EDR с описанием, рекомендациями и сопоставлением с базой знаний MITRE ATT&CK
Kaspersky EDR поддерживает полный спектр возможностей централизованного мониторинга, детального анализа первопричин и взаимодействия с рабочими станциями организации, а также позволяет производить гибкую настройку критериев поиска инцидентов из области информационной безопасности.
Рисунок 11. Система гибкого построителя запросов в Kaspersky EDR для проактивного поиска угроз
KATA с Kaspersky EDR осуществляет анализ данных и обнаружение угроз с помощью технологий, составляющих единую платформу механизмов детектирования, в состав которой входят песочница, система обнаружения вторжений, URL-репутация, взаимодействие с Kaspersky Security Network и порталом Kaspersky Threat Intelligence, антивирусное ядро, средства работы с индикаторами компрометации и индикаторами атак (IoA), иные компоненты.
Рисунок 12. Обнаружение угроз в Kaspersky EDR на платформе КАТА различными встроенными детектирующими механизмами
Решение предоставляет рекомендации по расследованию и реагированию: например, найти похожие обнаружения или события, проверить объект на портале Kaspersky Threat Intelligence, создать правило запрета, изолировать машину и пр.
Рисунок 13. Рекомендации в Kaspersky EDR
Дополнительно решение позволяет создавать собственные правила обнаружения на основе YARA- и IDS-правил, IoC, IoA.
Рисунок 14. Процесс добавления пользовательских правил IoA в Kaspersky EDR
Kaspersky EDR зарегистрирован в реестре российского программного обеспечения и имеет сертификаты регуляторов в сфере информационной безопасности, поэтому может быть рассмотрен для приобретения государственными организациями.
Расплачиваться за более широкую функциональность приходится тем, что для полноценного развёртывания потребуются серверы с более мощным наполнением. Возможна установка компонентов на виртуальные ресурсы. Подробно с аппаратными и программными требованиями можно ознакомиться по ссылке.
Актуальность применения edr-решений
В настоящее время потенциальной целью атаки злоумышленника может стать любая организация, вне зависимости от её масштаба, степени оснащённости и сферы деятельности. Стремительное развитие информационных технологий и методов воздействия на информационные системы значительно удешевляют и упрощают поиск уязвимых мест и их использование, приводя к новому витку противостояния «снаряда и брони» в сфере компьютерной безопасности.
Поэтому традиционные средства защиты не всегда могут обеспечить своевременное адекватное реагирование на инциденты в области информационной безопасности, поскольку за более-менее безобидной и распространённой угрозой может скрываться комплексная атака, способная привести к серьёзным и долгосрочным последствиям, которые в свою очередь выльются в финансовые и репутационные потери.
Краеугольным камнем построения системы информационной безопасности организации является обоснованность затрат на приобретение и обслуживание решений, направленных на защиту информации от внешних угроз, что зачастую является самым сложным, но вместе с тем и самым важным для специалиста по информационной безопасности.
Дополнительно стоит обратить внимание на то, что эффективность средств защиты от сложных угроз измеряется не величиной полученного дохода, а степенью потенциального урона, которого организации удастся избежать. Не секрет, что приоритетной целью киберпреступников является извлечение из атаки максимальной выгоды при минимальных затратах на её реализацию, исходя из чего можно предположить, что наиболее эффективным будет построение многослойной системы защиты, взлом которой потребует большого количества ресурсов и окажется попросту невыгодным.
Следующим важным критерием являются временные затраты: своевременное обнаружение атак и реагирование на них способно значительно снизить вероятность достижения злоумышленником поставленной цели. Поэтому решение Kaspersky EDR, входящее также в состав платформы Kaspersky Anti Targeted Attack, позволяет дать своевременный ответ на самую изощрённую поступающую угрозу как на уровне рабочих мест, так и на уровне сети и в кратчайшие сроки приступить к устранению последствий.
А в организациях поменьше, на которые также могут быть направлены современные непростые атаки, «Kaspersky EDR для бизнеса Оптимальный» в связке с Kaspersky Sandbox может помочь отразить угрозы на уровне рабочих мест без привлечения дополнительных ресурсов.
Архитектура kes edr
В основу архитектуры решения положены привычные нам Kaspersky Security Center и Kaspersky Endpoint Security, что даёт гибкие возможности по интеграции в существующую инфраструктуру организации. Если говорить о месте в экосистеме продуктов, то стоит отметить тесную взаимосвязь и взаимозависимость между ними, что обеспечивает перекрёстный охват всех объектов сети.
Рисунок 5. Архитектура KES EDR
Как видно по схеме выше, Kaspersky Security Center и Kaspersky Endpoint Agent являются обязательными компонентами, а Kaspersky Sandbox — вспомогательным.
Рисунок 6. Другие решения, в которых используется единый агент
Изучив архитектуру, можно сказать, что она позволяет легко и гибко наращивать мощности, подключать новые устройства и управлять ими. Мониторинг всех возникающих инцидентов на конечных точках вкупе с другими элементами инфраструктуры даёт более полную картину и обеспечивает подконтрольность ситуации.
Детальное сравнение kaspersky edr и «kaspersky edr для бизнеса оптимальный»
| Критерий | Kaspersky EDR для бизнеса Оптимальный | Kaspersky EDR |
| Предложение от «Лаборатории Касперского» | «Kaspersky Endpoint Security для бизнеса Расширенный» (EPP) со включённой базовой EDR-функциональностью | Многофункциональный EDR-инструментарий, который может работать с любым продуктом «Kaspersky Security для бизнеса» через единый агент, а также с «Kaspersky Security для виртуальных и облачных сред» и сторонними решениями для защиты конечных точек (EPP) |
| Целевая аудитория | Малые и средние предприятия с невысоким уровнем компетенций в ИБ или ограниченными ресурсами | Средние и крупные предприятия с быстро формирующимся или полностью сформированным опытом обеспечения ИБ |
| Противодействие угрозам | От распространённых угроз до ряда усовершенствованных, таких как неизвестные шифровальщики, бесфайловые угрозы и др. | Любые типы угроз, в том числе сложные, комплексные атаки, угрозы уровня APT |
| Поддерживаемые операционные системы | Windows | Windows; внедрение поддержки Linux-систем запланировано на I квартал 2021 года, macOS — на 2021 г. |
| Формат использования | На предприятии, в облаке | На предприятии; поддержка облачной модели запланирована на 2021 год |
| Аппаратные требования | Низкие | Требуется развёртывание сервера |
| Функциональность EPP | Включена функциональность «Kaspersky Endpoint Security для бизнеса Расширенный» | Работает совместно с любыми продуктами линейки «Kaspersky Security для бизнеса», «Kaspersky Security для виртуальных и облачных сред» и сторонними EPP |
| Совместная работа с EPP других вендоров | Не поддерживается | Поддерживается |
| Обнаружение массовых угроз и ряда сложных | Используются детектирующие компоненты «Kaspersky Endpoint Security для бизнеса Расширенный» | Могут использоваться детектирующие компоненты «Kaspersky Security для бизнеса» или стороннего EPP |
| Возможность добавления собственных детектирующих логик | Только создание IoC из результатов детектирования в «Kaspersky Endpoint Security для бизнеса Расширенный» | Поддержка пользовательских IoC и IoA, а также совместное с платформой КАТА создание YARA- и IDS-правил |
| Глубокий анализ подозрительных файлов | Обеспечивается при интеграции с Kaspersky Sandbox | Присутствует встроенная песочница |
| Проактивный поиск угроз (Threat Hunting) | Не поддерживается | Поддерживается |
| Предоставление информации по обнаружению | Поддерживается | Поддерживается (более детальная информация) |
| Анализ с использованием IoC | Поддерживается | Поддерживается |
| Доступ к Threat Intelligence Portal | Используется Open Threat Intelligence Portal | Используется Kaspersky Threat Intelligence Portal |
| Сопоставление с базой знаний тактик и техник злоумышленников MITRE ATT&CK | Не поддерживается | Поддерживается |
| Ручная отправка файлов на анализ в песочницу | Поддерживается (требуется лицензия Kaspersky Sandbox) | Поддерживается |
| Ретроспективный анализ | Не поддерживается | Поддерживается |
| Базовый инструментарий цифровой криминалистики | Не поддерживается | Поддерживается |
| Автоматическое реагирование | По результатам детектирования в «Kaspersky Endpoint Security для бизнеса Расширенный», а также при обнаружении ранее созданных IoC | Автоматическая блокировка на хостах по результатам детектирования в песочнице на уровне сети при работе с платформой KATA |
| Запрет запуска файла | Поддерживается | Поддерживается |
| Обеспечение сетевой изоляции | Поддерживается | Поддерживается |
| Дополнительные действия по реагированию (запуск файла / скрипта, остановка процесса, работа с карантином, удаление файла) | Поддерживается | Поддерживается |
| Предоставление рекомендаций по расследованию и реагированию | Не поддерживается | Поддерживается |
Сценарии использования kes edr
В наших сценариях мы будем использовать стенд в следующем составе:
- Kaspersky Security для рабочих станций и файловых серверов,
- Kaspersky Endpoint Agent,
- Kaspersky Security Center.
Процесс развёртывания рассматриваться не будет; о нём можно подробно узнать из официальной документации. Один из способов установки также описан в ранее выпущенной нами статье.
Подключимся к Kaspersky Security Center (рис. 7).
Рисунок 7. Авторизация в Kaspersky Security Center
После подключения перемещаемся в панель мониторинга Kaspersky Security Center с настраиваемой панелью и инструментами визуализации (рис. 8).
Рисунок 8. Панель мониторинга Kaspersky Security Center
Будут рассмотрены классические и часто используемые сценарии, но начнём мы с интересных возможностей, связанных с визуализацией цепочек развития угрозы (kill chain).
Настройка интеграции kaspersky endpoint agent c kaspersky managed detection and response
Перед выполнением следующих инструкций требуется получить конфигурационный файл MDR. Он содержит конфигурационный файл (BLOB), необходимый для интеграции.
Если требуется, чтобы программа Kaspersky Endpoint Agent обрабатывала данные о событиях, формируемых Kaspersky Industrial CyberSecurity for Networks, и отправляла эти данные в Kaspersky Managed Detection and Response, в параметрах Kaspersky Industrial CyberSecurity for Networks необходимо настроить взаимодействие с Kaspersky Security Center.
Чтобы настроить интеграцию Kaspersky Endpoint Agent c Kaspersky Managed Detection and Response с помощью Kaspersky Security Center Web Console, выполните следующие действия:
- Откройте Kaspersky Security Center Web Console.
- Перейдите на закладку Устройства → Политики и профили.
- В списке политик выберите название политики Kaspersky Endpoint Agent, которую вы хотите настроить.
Откроется окно параметров политики.
- На закладке Параметры программы выберите пункт Managed Detection and Response.
- В блоке параметров Параметры Managed Detection and Response выполните следующие действия:
- Установите переключатель в положение Managed Detection and Response включен.
- Нажмите на кнопку Загрузить конфигурационный файл (BLOB), а затем выберите конфигурационный файл BLOB для загрузки.
Загружая конфигурационный файл Managed Detection and Response, вы соглашаетесь автоматически передавать указанные данные с устройства с установленной программой Kaspersky Endpoint Agent в “Лабораторию Касперского” для обработки. Не загружайте конфигурационный файл, если вы не согласны на обработку указанных данных.
- В поле Идентификатор пользователя введите произвольное значение.
- В правом верхнем углу блока параметров измените положение переключателя с Не определено на Принудительно.
- Нажмите Сохранить, чтобы сохранить внесенные изменения.
Интеграция Kaspersky Endpoint Agent c Kaspersky Managed Detection and Response настроена.
Работа MDR при совместном использовании Kaspersky Endpoint Agent и Kaspersky Endpoint Security
Если на устройстве вы использовали Kaspersky Endpoint Agent для работы с решением MDR и установили Kaspersky Endpoint Security версии, поддерживающей взаимодействие с решением MDR, или обновили базы Kaspersky Endpoint Security 11 или выше до актуальной версии, решение MDR прекращает работу с Kaspersky Endpoint Agent и становится доступным для работы с Kaspersky Endpoint Security, при этом:
Справка kaspersky endpoint agent
Kaspersky Endpoint Agent – программа, которая устанавливается на отдельные устройства, входящие в IT-инфраструктуру организации. Программа осуществляет постоянное наблюдение за процессами, запущенными на этих устройствах, открытыми сетевыми соединениями и изменяемыми файлами. Kaspersky Endpoint Agent взаимодействует с другими решениями “Лаборатории Касперского” для обнаружения комплексных угроз (таких как таргетированные атаки).
Функционал программы Kaspersky Endpoint Agent зависит от программного решения, в составе которого используется программа.
В этой справке приведены инструкции по управлению и настройке Kaspersky Endpoint Agent без привязки к определенному решению. Часть описанного функционала может быть недоступна в рамках решения, которое вы используете.
Полную информацию о Kaspersky Endpoint Agent для Windows в составе программного решения, которое вы используете, а также полную информацию о самом решении смотрите в справке соответствующего решения:
Информацию о Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу:
В начало