Аппаратные и программные требования

«kaspersky edr для бизнеса оптимальный»

«Kaspersky EDR для бизнеса Оптимальный» разработан с учётом потребностей компаний малого и среднего бизнеса, которые только вступили в игру и пока не могут позволить себе приобретение и обслуживание мощного инструментария, но ощущают потребность в базовой EDR-функциональности, которая позволила бы контролировать информационную инфраструктуру рабочих мест организации и обеспечила бы необходимую скорость реакции на возможные инциденты.

Этот продукт сочетает в себе возможности решений класса Endpoint Protection Platform (EPP) и базовые функции Endpoint Detection and Response (EDR), предоставляя расширенный спектр инструментов для анализа информации с конечных рабочих станций и серверов организации.

Рисунок 2. Схема работы решения «Kaspersky EDR для бизнеса Оптимальный»

К преимуществам этого решения можно отнести относительную простоту использования, поскольку оно работает совместно с «Kaspersky Endpoint Security для бизнеса Расширенный» и управляется из единой консоли Kaspersky Security Center. Дополнительно «Kaspersky EDR для бизнеса Оптимальный» может быть усилен песочницей Kaspersky Sandbox, в которую автоматически отправляются подозрительные файлы для анализа. Предусмотрен механизм передачи информации об обнаружениях и срабатываниях из единой консоли KSC в SIEM-системы.

Также достоинством для небольших организаций можно назвать крайне низкие требования к аппаратному обеспечению. Главное ограничение — недоступность ретроспективного анализа и проактивного поиска угроз, вызванная отсутствием функциональности по хранению «сырой» телеметрии с конечных устройств за весь период их мониторинга.

В то же время система собирает с агентов на рабочих станциях информацию о срабатываниях и позволяет просмотреть сведения о том, что происходило на устройстве, проанализировать базовый граф цепочки развития угрозы. На основе анализа собранных данных администратор безопасности организации через консоль может выполнить действия по реагированию: поместить заражённые объекты на карантин или удалить их, запретить запуск файлов (в том числе исполняемых), изолировать заражённую машину, осуществить из полученного срабатывания настройку индикаторов компрометации (IoC) и дальнейший поиск по ним, применить правило реагирования.

Рисунок 3. Детализация обнаружения угрозы в «Kaspersky EDR для бизнеса Оптимальный»

В отличие от Kaspersky EDR в этом решении отсутствуют возможность взаимодействия с платформой KATA, поддержка работы с EPP-решениями сторонних производителей, хранение «сырой» телеметрии, детектирование на основе тактик и техник злоумышленников, обогащение данными из матрицы MITRE ATT&

Рисунок 4. Анализ первопричин в «Kaspersky EDR для бизнеса Оптимальный»

В «Kaspersky EDR для бизнеса Оптимальный» также отсутствует механизм автоматического создания политик, поэтому все исключения администратору безопасности необходимо указывать вручную, устанавливая их заранее либо по результатам рассмотрения инцидента.

Рисунок 5. Добавление исключения сетевой изоляции в «Kaspersky EDR для бизнеса Оптимальный»

Продукт зарегистрирован в реестре российского программного обеспечения, однако его приобретению организациями государственного сектора может помешать отсутствие сертификатов регуляторов в сфере информационной безопасности. На момент написания статьи ведутся работы по сертификации.

Kaspersky edr

Данное решение предоставляет более широкий спектр инструментов для анализа инцидентов, а при интеграции с KATA превращается во многофункциональное средство противодействия целенаправленным атакам как на уровне рабочих мест и серверов, так и на уровне сети, но, в свою очередь, требует более серьёзного подхода к аппаратному обеспечению и более квалифицированного персонала.

Рисунок 6. Схема работы решения Kaspersky EDR

Рисунок 7. Схема централизованного реагирования на инциденты в Kaspersky EDR

Kaspersky EDR поддерживает работу с EPP-решениями сторонних производителей, а также работает со встроенной песочницей, обеспечивающей более глубокий анализ запускаемых приложений в сравнении с Kaspersky Sandbox, и сопоставляет события с матрицей тактик и техник злоумышленников MITRE ATT&CK для детального расследования.

Рисунок 8. Результат проверки файла в песочнице Kaspersky EDR

Рассматриваемое решение поддерживает взаимодействие с сетевыми сенсорами в составе платформы KATA, анализ сетевого, почтового и веб-трафика; также присутствует возможность взаимодействия с SIEM-системами. Для дальнейшего блокирования вредоносных действий сформированные вердикты могут направляться в экземпляры Kaspersky Security для почтовых серверов и для интернет-шлюзов, выполняющие роль сенсоров и позволяющие автоматически реагировать на найденные платформой KATA более сложные угрозы на сетевом уровне, а также взаимодействовать со сторонними сетевыми устройствами.

Интеграция Kaspersky EDR с SIEM-системами помогает последним в отсеивании нерелевантных событий для последующей корреляции с иными источниками данных и дальнейшего расследования, тем самым предоставляя сведения о тех обнаруженных угрозах, на которые действительно необходимо обращать внимание.

Рисунок 9. Интеграция с SIEM-системой в Kaspersky EDR

Что касается сбора данных с сетевых сенсоров, то решение Kaspersky EDR в составе платформы KATA позволяет дополнять информацию об инцидентах сведениями по сетевому трафику, выявляя подозрительную активность по сетевым протоколам и при необходимости анализируя объекты, обнаруженные как сторонними системами, так и другими продуктами «Лаборатории Касперского».

Рисунок 10. Информация об обнаружении в Kaspersky EDR с описанием, рекомендациями и сопоставлением с базой знаний MITRE ATT&CK

Kaspersky EDR поддерживает полный спектр возможностей централизованного мониторинга, детального анализа первопричин и взаимодействия с рабочими станциями организации, а также позволяет производить гибкую настройку критериев поиска инцидентов из области информационной безопасности.

Рисунок 11. Система гибкого построителя запросов в Kaspersky EDR для проактивного поиска угроз

KATA с Kaspersky EDR осуществляет анализ данных и обнаружение угроз с помощью технологий, составляющих единую платформу механизмов детектирования, в состав которой входят песочница, система обнаружения вторжений, URL-репутация, взаимодействие с Kaspersky Security Network и порталом Kaspersky Threat Intelligence, антивирусное ядро, средства работы с индикаторами компрометации и индикаторами атак (IoA), иные компоненты.

Рисунок 12. Обнаружение угроз в Kaspersky EDR на платформе КАТА различными встроенными детектирующими механизмами

Решение предоставляет рекомендации по расследованию и реагированию: например, найти похожие обнаружения или события, проверить объект на портале Kaspersky Threat Intelligence, создать правило запрета, изолировать машину и пр.

Рисунок 13. Рекомендации в Kaspersky EDR

Дополнительно решение позволяет создавать собственные правила обнаружения на основе YARA- и IDS-правил, IoC, IoA.

Рисунок 14. Процесс добавления пользовательских правил IoA в Kaspersky EDR

Kaspersky EDR зарегистрирован в реестре российского программного обеспечения и имеет сертификаты регуляторов в сфере информационной безопасности, поэтому может быть рассмотрен для приобретения государственными организациями.

Расплачиваться за более широкую функциональность приходится тем, что для полноценного развёртывания потребуются серверы с более мощным наполнением. Возможна установка компонентов на виртуальные ресурсы. Подробно с аппаратными и программными требованиями можно ознакомиться по ссылке.

Актуальность применения edr-решений

В настоящее время потенциальной целью атаки злоумышленника может стать любая организация, вне зависимости от её масштаба, степени оснащённости и сферы деятельности. Стремительное развитие информационных технологий и методов воздействия на информационные системы значительно удешевляют и упрощают поиск уязвимых мест и их использование, приводя к новому витку противостояния «снаряда и брони» в сфере компьютерной безопасности.

Поэтому традиционные средства защиты не всегда могут обеспечить своевременное адекватное реагирование на инциденты в области информационной безопасности, поскольку за более-менее безобидной и распространённой угрозой может скрываться комплексная атака, способная привести к серьёзным и долгосрочным последствиям, которые в свою очередь выльются в финансовые и репутационные потери.

Краеугольным камнем построения системы информационной безопасности организации является обоснованность затрат на приобретение и обслуживание решений, направленных на защиту информации от внешних угроз, что зачастую является самым сложным, но вместе с тем и самым важным для специалиста по информационной безопасности.

Дополнительно стоит обратить внимание на то, что эффективность средств защиты от сложных угроз измеряется не величиной полученного дохода, а степенью потенциального урона, которого организации удастся избежать. Не секрет, что приоритетной целью киберпреступников является извлечение из атаки максимальной выгоды при минимальных затратах на её реализацию, исходя из чего можно предположить, что наиболее эффективным будет построение многослойной системы защиты, взлом которой потребует большого количества ресурсов и окажется попросту невыгодным.

Следующим важным критерием являются временные затраты: своевременное обнаружение атак и реагирование на них способно значительно снизить вероятность достижения злоумышленником поставленной цели. Поэтому решение Kaspersky EDR, входящее также в состав платформы Kaspersky Anti Targeted Attack, позволяет дать своевременный ответ на самую изощрённую поступающую угрозу как на уровне рабочих мест, так и на уровне сети и в кратчайшие сроки приступить к устранению последствий.

А в организациях поменьше, на которые также могут быть направлены современные непростые атаки, «Kaspersky EDR для бизнеса Оптимальный» в связке с Kaspersky Sandbox может помочь отразить угрозы на уровне рабочих мест без привлечения дополнительных ресурсов.

Архитектура kes edr

В основу архитектуры решения положены привычные нам Kaspersky Security Center и Kaspersky Endpoint Security, что даёт гибкие возможности по интеграции в существующую инфраструктуру организации. Если говорить о месте в экосистеме продуктов, то стоит отметить тесную взаимосвязь и взаимозависимость между ними, что обеспечивает перекрёстный охват всех объектов сети.

Рисунок 5. Архитектура KES EDR

Как видно по схеме выше, Kaspersky Security Center и Kaspersky Endpoint Agent являются обязательными компонентами, а Kaspersky Sandbox — вспомогательным.

Рисунок 6. Другие решения, в которых используется единый агент

Изучив архитектуру, можно сказать, что она позволяет легко и гибко наращивать мощности, подключать новые устройства и управлять ими. Мониторинг всех возникающих инцидентов на конечных точках вкупе с другими элементами инфраструктуры даёт более полную картину и обеспечивает подконтрольность ситуации.

Детальное сравнение kaspersky edr и «kaspersky edr для бизнеса оптимальный»

Сценарии использования kes edr

В наших сценариях мы будем использовать стенд в следующем составе:

• Kaspersky Security для рабочих станций и файловых серверов,
• Kaspersky Endpoint Agent,
• Kaspersky Security Center.

Процесс развёртывания рассматриваться не будет; о нём можно подробно узнать из официальной документации. Один из способов установки также описан в ранее выпущенной нами статье.

Подключимся к Kaspersky Security Center (рис. 7).

Рисунок 7. Авторизация в Kaspersky Security Center

После подключения перемещаемся в панель мониторинга Kaspersky Security Center с настраиваемой панелью и инструментами визуализации (рис. 8).

Рисунок 8. Панель мониторинга Kaspersky Security Center

Будут рассмотрены классические и часто используемые сценарии, но начнём мы с интересных возможностей, связанных с визуализацией цепочек развития угрозы (kill chain).

Настройка интеграции kaspersky endpoint agent c kaspersky managed detection and response

Перед выполнением следующих инструкций требуется получить конфигурационный файл MDR. Он содержит конфигурационный файл (BLOB), необходимый для интеграции.

Если требуется, чтобы программа Kaspersky Endpoint Agent обрабатывала данные о событиях, формируемых Kaspersky Industrial CyberSecurity for Networks, и отправляла эти данные в Kaspersky Managed Detection and Response, в параметрах Kaspersky Industrial CyberSecurity for Networks необходимо настроить взаимодействие с Kaspersky Security Center.

Чтобы настроить интеграцию Kaspersky Endpoint Agent c Kaspersky Managed Detection and Response с помощью Kaspersky Security Center Web Console, выполните следующие действия:

1. Откройте Kaspersky Security Center Web Console.
2. Перейдите на закладку Устройства → Политики и профили.
3. В списке политик выберите название политики Kaspersky Endpoint Agent, которую вы хотите настроить.

   Откроется окно параметров политики.

4. На закладке Параметры программы выберите пункт Managed Detection and Response.
5. В блоке параметров Параметры Managed Detection and Response выполните следующие действия:
   1. Установите переключатель в положение Managed Detection and Response включен.
   2. Нажмите на кнопку Загрузить конфигурационный файл (BLOB), а затем выберите конфигурационный файл BLOB для загрузки.

      Загружая конфигурационный файл Managed Detection and Response, вы соглашаетесь автоматически передавать указанные данные с устройства с установленной программой Kaspersky Endpoint Agent в «Лабораторию Касперского» для обработки. Не загружайте конфигурационный файл, если вы не согласны на обработку указанных данных.

   3. В поле Идентификатор пользователя введите произвольное значение.
   4. В правом верхнем углу блока параметров измените положение переключателя с Не определено на Принудительно.
6. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Интеграция Kaspersky Endpoint Agent c Kaspersky Managed Detection and Response настроена.

Работа MDR при совместном использовании Kaspersky Endpoint Agent и Kaspersky Endpoint Security

Если на устройстве вы использовали Kaspersky Endpoint Agent для работы с решением MDR и установили Kaspersky Endpoint Security версии, поддерживающей взаимодействие с решением MDR, или обновили базы Kaspersky Endpoint Security 11 или выше до актуальной версии, решение MDR прекращает работу с Kaspersky Endpoint Agent и становится доступным для работы с Kaspersky Endpoint Security, при этом:

Справка kaspersky endpoint agent