Material de estudo Kaspersky

Prévia do material em texto

Protection Components
Kaspersky Security Network - Solicita a reputação de programas e páginas da web dos servidores da Kaspersky Lab, fornece as informações mais recentes sobre ameaças, protege contra ataques de dia zero e falsos positivos.
Behavior Detection - Monitora o que os aplicativos fazem, mas analisa o que um programa faz em geral, em vez de suas ações individuais. Interrompe aplicativos que se comportam como malware. Em particular, para programas que tentam criptografar arquivos.
Exploit Prevention - Monitora quais arquivos iniciam programas vulneráveis e bloqueia tentativas de iniciar arquivos executáveis, a menos que sejam iniciadas pelo usuário.
Host Intrusion Prevention - Também monitora atividades de software no computador. Não permite que programas com reputação ruim ou desconhecida alterem as configurações do sistema e arquivos do usuário. Evita que eles mexam no sistema operacional e em outros softwares.
Remediation Engine - Registra as alterações no sistema operacional e reverte todas as alterações realizadas por programas suspeitos que foram detectados pela detecção de comportamento, prevenção de exploração ou proteção contra ameaças de arquivo.
File Threat Protection - Registra as alterações no sistema operacional e reverte todas as alterações realizadas por programas suspeitos que foram detectados pela detecção de comportamento, prevenção de exploração ou proteção contra ameaças de arquivo.
Web Threat Protection - Verifica páginas da Web e arquivos que o usuário ou programas baixam da Internet. Bloqueia sites perigosos e de phishing, proíbe o download de arquivos maliciosos.
Mail Threat Protection - Intercepta mensagens de e-mail, verifica seu texto e anexos, exclui arquivos maliciosos das mensagens.
Firewall - Controla as conexões estabelecidas pelos programas em execução no computador e os pacotes que recebem ou enviam. Bloqueia pacotes de acordo com as regras configuradas. Não permite que um programa desconhecido ou de má reputação estabeleça conexões.
Network Threat Protection - Verifica os pacotes de rede que o computador recebe. Bloqueia uma conexão se detectar indicações de um ataque de rede.
BadUsb Attack Prevention - Não permite conectar novos dispositivos de entrada (teclados, etc.) ao computador sem o consentimento do usuário. Protege contra dispositivos USB que fingem ser teclados e enviam comandos maliciosos ao computador.
AMSI Protection Provider -É responsável pela integração com Antimalware Scan Interface (AMSI) no Windows10 e Windows Server2016. AMSI é um componente do Windows que atua como intermediário entre os aplicativos e uma solução antivírus. Ele permite a verificação de arquivos, links e scripts, mesmo aqueles que são executados na memória sem serem salvos em um disco rígido.
Control Components
Application Control - O programa de blocos é iniciado de acordo com as regras configuradas. Pode congelar o estado de um computador e bloquear novos aplicativos.
Device Control - Bloqueia o acesso aos dispositivos de acordo com as regras configuradas. O administrador pode proibir o acesso a todas ou algumas unidades removíveis, adaptadores Wi-Fi ou modems.
Web Control - Bloqueia o acesso às páginas da web de acordo com as regras configuradas. O administrador pode proibir o acesso a redes sociais, pesquisa de empregos e sites de notícias, rastreadores de torrent, etc.
Adaptive Anomally Control - Contém um conjunto de heurísticas para monitorar comportamentos perigosos característicos de malware. Permite o bloqueio de atividades suspeitas não típicas de cada computador específico. Por padrão, o componente é executado no modo de treinamento de 2 semanas: ele monitora as atividades, informa o administrador sobre elas e é o administrador que decide se uma atividade é característica de um computador ou não.
Encryption Components
Full Disk Encryption – Criptografa o conteúdo de todas as unidades. Arquivos protegidos em notebooks, que podem ser perdidos ou roubados.
File Level Encryption – Criptografe arquivos e pastas individuais de acordo com as regras. Protege arquivos em notebooks, que podem ser perdidos ou roubados.
BitLocker Management – Gerencia a criptografia de disco por meio do Microsoft BitLocker. Protege arquivos em notebooks, que podem ser perdidos ou roubados.
Other components and tasks
Virus scan - Verifica os arquivos na programação especificada. Executa isso de forma mais completa do que a proteção contra ameaças de arquivos.
Update - Faz o download de descrições de ameaças e reputações de arquivos para os computadores, fornece proteção quando o Kaspersky Security Network está inacessível.
Endpoint Sensor - Informa o Nó Central da Plataforma de Ataque Anti-Direcionado Kaspersky sobre as atividades dos programas nos computadores, ajuda a detectar Ameaças Persistentes Avançadas.
Integrity Check - Garante que ninguém possa modificar os arquivos do Kaspersky Endpoint Security.
Como o Kaspersky Security Center gerencia computadores
Os agentes escutam na porta UDP 15000
O servidor contata esta porta que deseja
- Quando o administrador altera as configurações
- Quando o servidor baixa atualizações
- Aos comandos do administrador
O servidor escuta na porta TCP 13000
O Agente se conecta ao servidor:
- Periodicamente (por padrão, uma vez a cada 15 minutos)
- Quando solicitado pelo servidor
- Para enviar eventos (assim que forem registrados)
- Para baixar atualizações
Vamos ver como todos os componentes do Kaspersky Endpoint Security for Business interagem.
Em uma rede protegida, dois programas são instalados em cada computador:
—Kaspersky Endpoint Security, para proteção
—Agente de rede do Kaspersky Security Center, para gerenciamento
O Agente de Rede se conecta ao Servidor de Administração na programação especificada e também se necessário. Por padrão, uma chamada sincronização ocorre a cada 15 minutos.
O que o servidor recebe dos computadores
Para que o administrador veja o que está acontecendo na rede, o Agente de Rede envia os seguintes dados ao servidor.
Eventos - Assim que registrado- Quando o Kaspersky Endpoint Security encontra malware, não consegue baixar atualizações, não consegue iniciar componentes, etc.
Status- Assim que logado- Kaspersky Endpoint Security não está em execução. Os bancos de dados estão desatualizados. OKSN está inacessível. Existem objetos perigosos não processados
Listas- Uma vez por intervalo de sincronização-
Lista de arquivos executáveis conhecidos
Lista de programas vulneráveis
Lista de objetos maliciosos em quarentena
Lista de ameaças não processadas
Lista de hardware
Lista de software instalado
Configurações do Kaspersky Endpoint Security - Durante uma sincronização.
“Normalmente, os Agentes enviam apenas alterações nas listas para o servidor. Uma vez a cada várias horas (3 horas para algumas listas, 12 horas para outras), o servidor sincroniza completamente as listas com os computadores.”
O Servidor de Administração aceita conexões dos Agentes de Rede na porta TCP 13000. Os agentes estabelecem conexões TLS / SSL; eles criptografam e compactam dados usando o certificado do Servidor de Administração.
Quais computadores baixam do servidor
Para que o Kaspersky Endpoint Security proteja um computador da maneira que o administrador deseja, o Agente de Rede baixa as configurações do Kaspersky Endpoint Security na forma de políticas e tarefas do Servidor.
Durante uma sincronização, o Agente de Rede compara tarefas e políticas no computador com aquelas do Servidor de Administração e, se o administrador tiver alterado algo no servidor, o Agente baixa novas tarefas e políticas.
Normalmente, os computadores recebem tarefas e políticas antes da sincronização planejada.
Os Agentes de Rede aceitam pacotes na porta UDP 15000. Se o Servidor quiser que um Agente se conecte com urgência ao Servidor, ele enviará um sinal especial para essa porta.
Quando o administrador modifica uma tarefa ou política, o Servidor de Administração contata os Agentes em todos os computadores aos quais esta tarefa ou política pertence.
Duranteuma sincronização, as políticas são baixadas apenas pelos computadores que não receberam o sinal do servidor.
O administrador também pode enviar uma solicitação de sincronização manualmente, por meio do menu de atalho de um computador no Console de administração. Além disso, os Agentes se conectam ao Servidor para baixar atualizações para o KasperskyEndpoint Security.
Para isso, eles também se conectam à porta 13000 por meio de uma conexão SSL.
Como o administrador gerencia a proteção por meio do console
Os eventos e status enviados pelos Agentes de Rede ajudam o administrador a entender o que está acontecendo na rede. O Servidor de Administração resume os status de computadores individuais e os exibe na página principal do Console de Administração - a guia Monitoramento do nó do Servidor de Administração.
Para entender melhor o que está acontecendo, o administrador pode consultar relatórios, que o Servidor de Administração elabora com base nos eventos. Existem muitas ferramentas de pesquisa e filtro no console que ajudam a organizar eventos e computadores de acordo com vários parâmetros.
Para especificar as configurações de proteção do computador, o administrador cria tarefas e políticas no console:
—Tasks — para operações que têm uma terminação lógica. Por exemplo, a atualização é concluída quando o Kaspersky Endpoint Security recebe todas as novas descrições de ameaças, a verificação de vírus é concluída quando todos os arquivos no escopo da verificação são verificados. É por isso que as atualizações e a verificação de vírus são configuradas como tarefas, que têm programações.
—Políticas — para todos os outros parâmetros: como verificar arquivos que o usuário baixa da Internet ou recebe por e-mail, como verificar arquivos abertos por programas, quais conexões de rede permitir e quais bloquear. Essas configurações devem ser aplicadas permanentemente para proteger o computador, por isso são especificadas em uma política.
Se computadores diferentes precisarem de configurações diferentes, o administrador organiza os computadores em grupos e cria políticas ou tarefas individuais dentro de cada grupo. Por exemplo, para realizar a varredura de vírus em servidores nos finais de semana e em estações de trabalho em segundo plano durante um dia útil, o administrador pode criar dois grupos (para servidores e estações de trabalho) e criar tarefas de varredura de vírus com agendamentos diferentes para eles.
Como as políticas são aplicadas aos computadores
Uma política contém os mesmos parâmetros das configurações locais do Kaspersky Endpoint Security. Quando o administrador configura uma política, as configurações de proteção local são alteradas.
em uma política, cada parâmetro ou grupo de parâmetros possui o botão de bloqueio.
Se o botão parecer pressionado e o cadeado estiver fechado, os parâmetros serão aplicados aos computadores onde a política é aplicada. O usuário não pode modificar os valores desses parâmetros na interface local do Kaspersky Endpoint Security.
Se o botão parecer solto e a fechadura estiver aberta, o computador considera que este parâmetro não foi especificado na política. O usuário pode alterar esses parâmetros na interface local.