Kaspersky Endpoint Detection and Response Expert [1] soll Unternehmen vor gängigen wie fortschrittlichen Cyberbedrohungen schützen. Mit den neuen Möglichkeiten zur Erkennung und Untersuchung verdächtiger Objekte könnten Unternehmen laut Kaspersky ihre Analyse verfeinern und Bedrohungen aus der Masse aller Alerts besser herausfiltern.

Die über Angriffsindikatoren (Indicator of Attack, IoA) gefundenen verdächtigen Dateien lassen sich automatisch in die Sandbox schicken und dort in isolierter Umgebung weiter untersuchen. Erst, wenn sich die Datei tatsächlich als gefährlich herausstelle, würde ein Alert ausgelöst. Für die IoA-Regeln sollen sich Ausnahmen in unterschiedlicher Granularität definieren lassen. Dies vermeide, dass Unternehmen neben echten Gefahrenmeldungen zu viele False-Positive-Warnungen bearbeiten müssen.

Vor-Ort- und Cloud-Management-Konsole
Bei Verwendung der Vor-Ort-Konsole können Threat Hunter und Spezialisten im Security Operations Center (SOC) die an Endpoints identifizierten verdächtigen Dateien jetzt auf dem Host-Rechner nach YARA-Regeln untersuchen. Das Scannen der Endpoints kann auf das Random Access Memory (RAM) und bestimmte Verzeichnisse beschränkt oder auf allen lokalen Festplatten durchgeführt werden.

Neben der bereits verfügbaren Vor-Ort-Version bietet die aktualisierte Lösung alternativ eine Cloud-Management-Konsole, die in Azure gehostet wird. Kommt die Cloud-Management-Konsole zum Einsatz, ermöglicht Kaspersky Endpoint Detection and Response Expert die automatische Zuordnung fragmentierter Alerts an unterschiedlichen Endpoints zu einem einzigen Vorfall, sodass IT-Sicherheitsspezialisten nicht mehr jeden einzelnen Alert untersuchen müssen. Aufgrund der API-Integration sei in der Vor-Ort-Version die Vorfallreaktion auch unter Einbindung von Drittanbieter-Systemen auf dem Host möglich. So könne das Sicherheitsteam für seine Antwort zum Beispiel auch SIEM- oder SOAR-Plattformen nutzen.


dr

[1] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr