KASPERSKY EDR OPTIMUM

KASPERSKY EDR OPTIMUM

KEDR Optimum'un sunduğu çözümler hemen hemen KEDR'a yakın olsa da KEDR Optimum'un yaklaşımı biraz daha farklıdır. Bu dokümantasyonda KEDR Optimum'un ne olduğunu ne işe yaradığını, KEDR ile farkının ne olduğunu ve neden işletmeler için gerekli olduğunu sizlere açıklayacağız.

KEDR OPTİMUM (KASPERSKY ENDPOINT DETECTION AND RESPONSE OPTIMUM) NEDİR?

Çok olgunlaşmamış BT Departmanları veya BT Departmanlarında BT Güvenlik uzmanları barındıran, gelişmiş tehditlere karşı savunma durumunu anlamlandırmaya çalışan, kendi alt yapısında tam anlamıyla görünürlük isteyen ve tüm bunlara hızlı cevap vermek isteyen kuruluşlar için geliştirilmiş bir çözümdür.

KEDR Optimum, tıpkı KEDR gibi BT Güvenlik uzmanlarına potansiyel saldırı durumlarını göstermeyi, anlık olarak neler olduğunu anlamlandırabilmeyi ve zarar oluşmadan önce tepkime yapmaları konusunda yardımcı olmayı amaçlar. KEDR'dan farkı ise maliyet olarak daha düşük olması, donanım ve yazılım gereksinimlerinin KEDR'a göre daha düşük olması ve olgun bir SoC ekibini gerektirmemesidir. Tabiki KEDR kadar detaylı bir çözüm sunmamaktadır.

Uygulama Mimarisi

Grafik 1: EDR Optimum mimarisi ve operasyon şeması (EDR Optimum PoC Guide v1.1 pdf (sayfa 4), Türkçeleştirme: Mihail Frolov)

EDR Optimum, herhangi bir kaynağa dayalı bileşen gerektirmez. Çözüm için gereken harcamaları da minimize eder.

EDR Optimumu kurmak için herhangi ek bir kaynak gerekmez.

Bileşen çözümleri şu şekildedir;

Kaspersky Uç Nokta Ajanı: Bu uygulama EDR Optimum'un çözümlerinden bir tanesidir.

EPP'nin (Endpoint Protection Platform) veya yerel ağdaki sunuculara ve iş istasyonlarına ayrı olarak da kurulabilir. Bu, cihazlar üzerine kurulan ana çözüm bileşenlerinden bir tanesidir. Kaspersky Security Center kurallarındaki otomatik tehdit bertaraf sistemi ile EPP arasında iletişim sağlar. Şunlardan sorumludur;

KES'den tehdit içerik ve karar verilerini toplar.

Toplanmış olay verilerine ve sistem verilerine dayalı kaliteli karar vermek.

KSC için saldırı girişimi haritasını ve kök bazlı verileri görselleştirerek olay bazlı veri sunmak.

Son noktalarda IoC Taraması yapmak.

Tepki aksiyonları (İstemci izolasyonu, isteğe bağlı görev taraması, dosyaları karantinaya gönderme işlemleri vb.)

Kaspersky Security Center (KSC veya CC): Organizasyonun ağındaki basit yönetim ve bakım çalışmalarını merkezileştirmek için dizayn edilmiştir. Organizasyonun ağ güvenlik seviyesi hakkında detaylı bilgiye yönetici ulaşımını sağlayan bir uygulamadır. Kaspersky uygulamalarındaki tüm koruma bileşenlerinin ayarlanmasına izin verir.

Kaspersky Security Center 12 Web Console: Güvenlik merkezi için bir web arayüzü oluşturur. EDR Optimum sadece web arayüzünü destekler.

Ağ Ajanı: Ağ yoluna kurulan Kaspersky uygulamaları ile yönetim sunucusu arasındaki etkileşimi koordine eder.

Kaspersky Endpoint Security 11.4 ve sonraki versiyonlar: Windows için KES, bilgisayar koruması sağlamak için çeşitli atakları, ağ ve phishing ataklarını engelleyen bir uygulamadır. Her tehdit türü belirlenen bileşen tarafından kontrol edilir. Bileşenler özgürce kapatılıp açılabilir, ayarları değiştirilebilir.

KEDR OPTİMUM ÖZELLİKLERİ

Mimari

Algılama ve Araştırma

KEDR Optimum, uç nokta güvenlik korumasının bir bileşeni olarak kullanılırsa İş ürünü için olan KES'in kapasitesini ve çoklu algılama motorlarını kullanır.

Görünürlük

KEDR Optimum, vaka için tam görünürlük sağlamakta. Anlık olarak neler olduğunu anlamayı sağlar ve zarar olmadan önce hızlı bir bertaraf yapar.

Bertaraf

Otomatik algılama, bertaraf kapasiteleriyle eşleşip belirlenen organizasyonun çevik ataklara otomatik karşı koymayı sağlar. Bu karşı koymanın içinde yeni sızmalar, yeni fidye yazılımları, dosyasız tehditleri ve legal sistem sızma araçları tekniklerini de kapsar.

Yönetim

Entegrasyon Kapasitesi

DONANIM VE YAZILIM GEREKSİNİMLERİ

Minimum donanım gereksinimleri;

İşlemci: 1.4 GHz (tek çekirdek) veya daha yükseği.

RAM: 256 MB (64 Bit işletim sistemi kullanılıyorsa bu 512 MB olacaktır.).

Boş disk alanı: 500 MB.

Desteklenen işletim sistemleri;

Windows 7 SP1 Home / Professional / Enterprise 32-bit / 64-bit

Windows 8.1.1 Professional / Enterprise 32-bit / 64-bit

Windows 10 RS3 (version 1703) Home / Professional / Education / Enterprise 32-bit / 64-bit

Windows 10 RS4 (version 1803) Home / Professional / Education / Enterprise 32-bit / 64-bit

Windows 10 RS5 (version 1809) Home / Professional / Education / Enterprise 32-bit / 64-bit

Windows 10 RS6 (version 1903) Home / Professional / Education / Enterprise 32-bit / 64-bit

Windows 10 19H2 (version 1909) Home / Professional / Education / Enterprise 32-bit / 64-bit

Windows 10 20H1 (version 2004) Home / Professional / Education / Enterprise 32-bit / 64-bit

Windows Server 2008 R2 Foundation / Standard / Enterprise 64-bit

Windows Server 2012 Foundation / Standard / Enterprise 64-bit

Windows Server 2012 R2 Foundation / Standard / Enterprise 64-bit

Windows Server 2016 Essentials / Standard / Datacenter 64-bit

Windows Server 2019 Essentials / Standard / Datacenter 64-bit

Kaspersky Endpoint Agent 3.9&'in diğer Kaspersky uygulamaları ile olan uyumluluğu;

Kaspersky Endpoint Security 11.4 for Windows.

Kaspersky Security 11 for Windows Server.

Kaspersky Endpoint Agent 3.9'in diğer uygulamalar ile olan entegrasyonu;

Kaspersky Security Center 12.

Kaspersky Security Center Cloud Console.

Kaspersky Sandbox 1.0.

Kaspersky Anti Targeted Attack Platform 3.7.

Hazırlayan: Mihail Frolov

ELFA