IDS / IPS, Kaspersky Endpoint Sensor

[Zimbo73]

Nachfolgendes Anliegen wurde heute durch unsere GL an mich getragen. "wie heute Morgen besprochen, wird immer häufiger in Abfragen nach TOMs oder bei Abfragen nach unserer IT nach folgenden Systemen gefragt: https://de.wikipedia.org/wiki/Intrusion_Prevention_System https://de.wikipedia.org/wiki/Intrusion_Detection_System Dabei wurde deutlich, dass dies als Frage unsererseits zu beantworten ist und gegebenenfalls entsprechende Systeme zu implementieren sind. Bitte klären Sie inwieweit mit unseren Mitteln (Firewall und Kaspersky) solche Leistungen bereits erbracht werden." Offensichtlich ist das Modul "Endpoint Sensor" dafür gedacht. Bei uns ist dieses Modul (warum auch immer?) deaktiviert. Leider ist es mir kaum möglich irgendwo ausreichend Informationen zu diesem Modul zu finden. Die Angaben in den Anleitungen sind mehr als spärlich. Auch im Forum bin ich nicht fündig geworden. So ist es mir nichtmal möglich zu sagen, ob wir für den Endpoint Sensor überhaupt lizensiert sind (KES Advanced). Weiterhin muß in der Richtlinie ein Server angegeben werden. Leider wird nirgendwo erwähnt was dies für ein Server ist, und woher man die entsprechenden Informationen bekommt, die dort eingetragen werden sollen. Mich würde auch intererssieren, ob die Zusäzliche Software automatisch auf die Clients installiert wird, sobald ich das Modul in der Richtlinie aktiviere? Gibt es mit dem Endpoint Sensor Erfahrungen, oder wird vieleicht ganz und gar von der Aktivierung abgeraten. Ich habe von einer Konfigurationsoberfläche (HTML) gelesen? Was wird hier konfiguriert? Es scheint so, als ob die Aktivierung des Endpointsensors erheblichen Verwaltungsaufwand bedeutet. Ist vieleicht sogar ein Seminar (oder Webinar) nötig um sich da rein zu arbeiten.

[alexcad]

Hallo Zimbo73, IDS/IPS ist in die Schutzmodule der KES integriert. Einen Überblick über die Module/Funktionen findest du hier: https://support.kaspersky.com/14529#block3 Da seid ihr mit Kaspersky sicher. Der Punkt "Endpoint Sensor" in der Richtlinie hat damit allerdings nichts zu tun - das ist die Schnittstelle zu KATA/EDR, einer sensor-basierten Analyse-Plattform, die dazu dient (auch unbekannte) Angriffe zu detektieren und (wenn EDR dazu lizenziert wurde) zu bekämpfen. KATA = "Kaspersky Anti Targeted Attack" https://www.kaspersky.de/enterprise-security/anti-targeted-attack-platform EDR = "Endpoint Detection and Response" https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr Diese Lösungen adressieren größere Unternehmen, die über ein SOC (Security Operations Center), also eine Abteilung (innerhalb der IT) die sich um diese Plattform, die Events und Incidents kümmern kann. Melde dich, falls das für euch spannend ist. Grüße Alex