Scenario: configurazione e utilizzo di Endpoint Detection and Response
16 agosto 2024
ID 231813
Per utilizzare Endpoint Detection and Response in modalità automatica, è prima necessario configurarlo.
Lo scenario procede per fasi:
- Configurare le scansioni IoC per potenziali minacce
Utilizzando le scansioni IoC, è possibile configurare la ricerca periodica di indicatori di compromissione (IoC) nei dispositivi e le misure di reazione automatica da adottare in caso di rilevamento di IoC.
- Configurare la prevenzione dell'esecuzione
È possibile definire le impostazioni in base alle quali Kaspersky Endpoint Security for Windows impedisce l'esecuzione di determinati oggetti (file eseguibili e script) o l'apertura di documenti Microsoft Office nei dispositivi degli utenti.
- Visualizzare e analizzare le informazioni sugli avvisi che si sono verificati
- Adottare misure di reazione manuale
Durante l'analisi dei dettagli di un avviso potrebbe essere necessario adottare misure aggiuntive o ottimizzare la funzionalità Endpoint Detection and Response:
- Adottare misure di reazione manuale (ad esempio spostare il file rilevato in Quarantena o isolare il dispositivo in cui si è verificato l'avviso).
- Aggiungere gli IoC rilevati alle impostazioni delle scansioni IoC periodiche, per verificare la presenza della stessa minaccia in altri dispositivi.
- Aggiungere l'oggetto rilevato all'elenco delle regole di prevenzione dell'esecuzione, per impedire che venga eseguito in futuro nello stesso dispositivo e in altri dispositivi.