Kaspersky EDR چیست

نرم‌افزار EDR کمپانی Kaspersky می‌تواند یک لایه محافظتی به راه‌حل EPP سازمان اضافه کند، EPP توانایی جلوگیری از حملات ساده شامل ویروس‌ها و تروجان‌ها و غیره را دارد. در صورتی که EDR بر نحوه جلوگیری از حملات پیشرفته تمرکز می‌کند، این نرم‌افزار با مشاهده رفتار بدافزارها و رویدادهای بوجود آمده در سیستم‌های انتهایی، توانایی تشخیص حملات را بدست می‌آورد.

این نرم‌افزار تماماً با نرم‌افزار Kaspersky Enterprise Security ادغام شده و همچنین می‌تواند با EPP‌های برندهای دیگر کار کند.

طراحی Kaspersky EDR شامل بخش‌های مختلف است:

• سنسورهای سیستم‌های انتهایی که می‌تواند با سنسور Kaspersky Enterprise Security ادغام شده و یک سنسور باشد و یا بصورت Standalone در کنار سنسورهای EPP‌های دیگر قرار گیرد.
• نیازمند یک منبع ذخیره‌سازی باری رویدادها، یک موتور تحلیل و بررسی و یک ماژول مدیریتی است. همچنین می‌تواند یک Sandbox نیز داشته باشد که این مورد بصورت اختیاری پیاده‌سازی می‌شود.
• این کمپانی دارای یک ابر خصوصی با نام KSN Cloud است که برای تشخیص تهدیدات جدید و اعمال بصورت Real-time استفاده می‌شود.
• این محصول توانایی تعامل با محصولات Kaspersky Anti Targeted Attack و KCS را دارد که Anti-Targeted Attack برای تشخیص حملات وب و شبکه مورد استفاده قرار گرفته و KCS محصول Threat Intelligence کمپانی کسپرسکی است.
• این محصول قابلیت تعامل با یک محصول SIEM و توانایی ارسال لاگ با فرمت CEF را دارد.

ویژگی‌های محصول EDR Kaspersky

• متمرکز کردن رویدادها

این محصول بطور مداوم رویدادهای سیستم‌های انتهایی را فارغ از مشکوک بودن یا نبودن جمع‌آوری می‌کند که این موضوع به کشف و تشخیص بدافزارهای ناشناخته کمک می‌کند. البته این محصول قابلیت تنظیم برای جمع‌آوری تنها موارد مشکوک را نیز داراست که باعث مدیریت بهتر منابع ذخیره‌سازی می‌شود.

ذخیره کردن رویدادهای سیستم‌های انتهایی در یک میزبان متمرکز این امکان را می‌دهد که محصول با سرعت بالاتری به آنالیز و جستجو میان رویدادها بپردازد.

• تشخیص اتوماتیک

این محصول قابلیت تشخیص نفوذ میان رویدادهای چندین سیستم انتهایی را دارد و می‌تواند میان رویدادهای تولید شده توسط آنها Correlation انجام دهد. بغیر از تشخیص بر اساس رویدادهای تولید شده محصول EDR کسپرسکی می‌تواند یک Object مشکوک و یا بخشی از Memory را برای سرور مرکزی خود ارسال کند.

• تشخیص Manual

این ویژگی که به ویژگی شکار تهدیدات محصول معروف است، توانایی جستجو بصورت Proactive  (پیش‌کنشانه) برای بدست آوردن تهدیدات و حملات را برروی تمامی رویدادها ارائه می‌دهد. همچنین امکان اضافه کردن IoCهای جدید را به تیم امنیت می‌دهد.

• پاسخ به تهدیدات

در این فاز عملگر با توجه به تهدید شناسایی شده واکنش می‌دهد. بعد از تشخیص تهدید شروع به بررسی و رابطه این تهدید با دیگر رویدادها می‌کند و بدنبال یک زنجیره از رفتارهای مخرب می‌گردد. در همین حین در صورت لزوم اقدام به متوقف ساختن Process مربوطه، حذف و قرنطینه‌کردن فایل می‌پردازد.

• جلوگیری از تهدیدات

جلوگیری از اجرای فایل‌هایی که با سیاست‌های سازمان مغایرت دارد، مانند عدم اجرای فایل‌‌های اسکریپت یا نرم‌افزارهای آفیس و…، همچنین ایجاد یک Whitelist برای پسوندهای اجرایی در سازمان. تشخیص و جلوگیری از Objectها و URLهایی که در Sandbox بعنوان بدافزار شناسایی شده‌اند.