关于 Detection and Response 解决方案命令的响应操作
Kaspersky Endpoint Security 可以执行旨在提供安全功能的响应操作:
- 与 Kaspersky Endpoint Detection and Response (KATA) 交互时,这是 Kaspersky Anti Targeted Attack Platform 解决方案的一个组件。
- 与 Kaspersky Endpoint Detection and Response Optimum 交互时。
Kaspersky Anti Targeted Attack Platform 和Kaspersky Endpoint Detection and Response Optimum 的响应操作设置不同。
Kaspersky Endpoint Security 可以执行以下响应操作:
- 从设备获取文件。
此操作使用获取文件任务执行。例如,您可以将应用程序配置为获取第三方程序生成的事件日志文件。
- 从设备中删除文件。
此操作使用删除文件任务执行。
- 在设备上远程运行进程。
此操作使用运行流程任务执行。
例如,您可以远程运行用于创建设备配置文件的实用程序,然后使用“获取文件”来获取该文件。
- 远程终止设备上的进程。
该操作使用终止进程任务执行。
例如,您可以远程终止使用“运行进程”任务启动的互联网速度测试实用程序。
- 检测设备上的入侵指标并执行威胁响应行动。
此操作使用IOC 扫描任务执行。
IOC 扫描任务仅在操作系统的主命名空间中检查 IOC 项(IOC 对象的属性,例如文件哈希)。IOC 扫描任务不会计算大于 200 MB 的文件的哈希。
- 启用或禁用设备的网络隔离。
当 Kaspersky Endpoint Security 与 Kaspersky Endpoint Detection and Response Optimum 交互时,您可以:
- 在 Web Console 中启用或禁用网络隔离。
- 在命令行中禁用网络隔离。
- 在 Web Console 中配置自动禁用网络隔离。
当 Kaspersky Endpoint Security 与 Kaspersky Endpoint Detection and Response (KATA) 交互时,您可以:
- 在命令行中禁用网络隔离。
- 在 Kaspersky Endpoint Detection and Response (KATA) 解决方案中启用或禁用网络隔离。
要了解更多信息,请查看“Kaspersky Anti Targeted Attack Platform 帮助”。
网络隔离限制
使用网络隔离时,我们强烈建议您熟悉下述限制。
要使网络隔离起作用,必须运行 Kaspersky Endpoint Security。如果 Kaspersky Endpoint Security 出现故障(且应用程序未运行),则当 Kaspersky Anti Targeted Attack Platform 或 Kaspersky Endpoint Detection and Response Optimum 启用网络隔离时,无法保证流量阻止。
启用网络隔离的传输流量受到支持,但有限制,并且可能会被过滤。
DHCP 和 DNS 不会自动添加到网络隔离例外中,因此如果在网络隔离期间更改资源的网络地址,Kaspersky Endpoint Security 将无法访问该资源。这同样适用于容错 KATA 服务器的节点。我们建议不要更改它们的地址,这样 Kaspersky Endpoint Security 不会与它们失去联系。
代理服务器也不会被自动添加到网络隔离排除项中,因此您需要手动将其添加到排除项中,以便 Kaspersky Endpoint Security 不会失去与 KATA 服务器的联系。
不支持按名称向网络隔离添加进程和从网络隔离中排除进程。
如果在标准模式下使用 Kaspersky Endpoint Security,我们建议在使用网络隔离时执行以下操作:
- 使用 KSN 代理服务器与卡巴斯基安全网络进行交互。
- 使用 Kaspersky Security Center 作为应用程序激活代理服务器。
如果无法使用 Kaspersky Security Center 作为代理服务器,请配置所需代理服务器的设置并将其添加到排除项中。
- 指定 Kaspersky Security Center 作为数据库更新源。
如果在 Light Agent 模式下使用 Kaspersky Endpoint Security,则这些建议不适用。