Доступен новый Kaspersky EDR Expert

«Лаборатория Касперского» обновила свой продукт Endpoint Detection and Response (EDR) для компаний со зрелыми процессами ИТ-безопасности. Новый Kaspersky Endpoint Detection and Response Expert предлагает расширенные функции защиты от APT-атак. Возможности продукта по расследованию угроз и реагированию на них были расширены за счет интеграции API для автоматической привязки оповещений к событиям, сканирования на основе правил YARA и реагирования на хосты. Новая версия также включает облачную консоль управления, размещенную в Azure, а также ранее доступную локальную версию.

Gartner прогнозирует, что к 50 году более 2023% организаций заменят свои устаревшие антивирусные решения на EDR. Обнаружение атаки в распределенных ИТ-инфраструктурах иногда занимает больше месяца. EDR, с другой стороны, может помочь устранить атаку как можно раньше, прежде чем она распространится, и снабдить предприятия эффективными инструментами безопасности.

Новый API для более глубокого обнаружения, расследования и реагирования

Kaspersky Endpoint Detection and Response Expert выделяется как полноценный продукт EDR, защищающий как от коллективных, так и от сложных корпоративных угроз. Он также предлагает новые возможности обнаружения и расследования, чтобы помочь клиентам точно настроить анализ подозрительных объектов и обнаруживать атаки из пула предупреждений.

Подозрительные файлы, которые запускают правила индикатора атаки (IoA), могут автоматически отправляться в песочницу для сканирования. Если проверка песочницы показывает, что файл является вредоносным, генерируется предупреждение. Возможность создания подробных исключений из правил IoA помогает предприятиям избежать ложных срабатываний в результате законных действий администратора. Например, правило можно настроить так, чтобы оно не срабатывало на компьютере администратора.

Аналитики центра управления безопасностью (SOC) и охотники за угрозами теперь могут использовать сканирование правил YARA на хостах для обнаружения вредоносных файлов на конечных точках с подозрительной активностью. Это позволяет ему сканировать такие области, как оперативная память (ОЗУ), определенные папки или целые локальные диски в конечной точке.

Kaspersky Endpoint Detection and Response Expert также расширяет возможности расследования благодаря возможности комбинировать автоматические оповещения с событиями. Механизм связывает фрагментированные оповещения с разных конечных точек и может объединять их в одно событие. Таким образом, аналитикам не нужно самостоятельно просматривать предупреждения.

Когда дело доходит до реагирования на инциденты, группы ИТ-безопасности могут делать это через сторонние системы с интеграцией API для реагирования на хосты. Например, он может интегрировать возможность инициирования ответных действий в платформы оркестрации безопасности, такие как SIEM или SOAR.

Облачная консоль управления

Консоль управления продуктом доступна как в облаке, так и в локальной среде. Таким образом, учреждения могут выбрать подходящий вариант в соответствии с настройкой инфраструктуры. Новая облачная версия размещается в Azure и обеспечивает более быстрое пилотирование и управление из любого места, а также большую прозрачность и более низкую совокупную стоимость владения. Благодаря предлагаемой модели подписки клиенты могут быстро изменить объем лицензии в зависимости от количества узлов, которые им необходимо покрыть.

Сергей Марцинкян, вице-президент по маркетингу корпоративных продуктов «Лаборатории Касперского», говорит: «Полноценный инструмент EDR — важный элемент корпоративной кибербезопасности. Поэтому он должен быть разработан с учетом различных потребностей клиентов в области обнаружения, реагирования и управления безопасностью. Продолжая тенденцию к удаленной работе и внедрению облачных технологий, возможность управлять функциями EDR из облака — это требование, которое мы рады добавить в обновление нашего продукта. Размещение продукта на сторонней облачной платформе — это шаг в соответствии с обязательствами «Лаборатории Касперского» в отношении конфиденциальности данных клиентов и доверия с точки зрения обработки и размещения данных. В будущем мощный и надежный инструмент EDR должен предлагать дополнительную расширенную защиту, чтобы помочь организациям повысить прозрачность своей инфраструктуры и получить контроль над всеми областями безопасности».

Наряду с корпоративными продуктами «Лаборатории Касперского» Kaspersky EDR Expert способствовал признанию «Лаборатории Касперского» лучшим игроком в недавнем отчете Radicati «Расширенная защита от постоянных угроз (APT) — рынок, квартал 2022 г.». Это поддерживает высокую функциональность корпоративного портфеля компании, ее стратегическое видение и способность защищать клиентов от сложных киберугроз.