Что выбрать: KES + KEDR или только KEDR?

Question

Дмитрий @skippy163

Что выбрать: KES + KEDR или только KEDR?

Доброго дня! Сейчас проходим этап формирования SOC и возник вопрос: ограничиться ли только внедрением KEDR (Endpoint detection and responce), при том что у нас также будет SIEM (система мониторинга). Либо же внедрить KEDR (который вроде как является продвинутым антивирусом) + дополнительно антивирус (Kaspersky endpoint security). Наш поставщик услуг говорит нам, что желательно оба эти решения интегрировать, чтобы они работали в связке. Но для чего конкретно нам необходим отдельно KES (если вроде как весь его функционал покрывает KEDR), пока непонятно. Ниже прикрепляю сводную таблицу по функционалу. Уверен, что наверняка среди нас есть эксперты с опытом внедрения SOC. Прошу дать своё оценочное суждение и видение данного вопроса. Спасибо!

Вопрос задан 21 мая
278 просмотров

5 комментариев

Подписаться 1 Средний 5 комментариев

Drno @Drno

встроенного антивируса виндовс уже недостаточно?

Написано 21 мая
Adamos @Adamos

Drno, просто к Windows Pro они еще на всякий случай, для безопасности, прикупили Windows Home... :)

Написано 21 мая
Дмитрий @skippy163 Автор вопроса

Drno, в масштабах нашей организации нет.

Написано 21 мая
hint000 @hint000

Информация к размышлению.
https://www.facct.ru/blog/ransomware-2023-2024/

Для распространения программы-вымогателя в сети жертвы и для ее запуска на хостах Windows атакующие воспользовались популярным корпоративным антивирусным программным обеспечением, установленным в ИТ-инфраструктуре компании. Для удаленного запуска программы-вымогателя атакующие создали инсталляционный пакет (рис. 15) и соответствующую задачу. Надо отметить, что продвинутые атакующие при получении доступа к панели управления данного антивирусного продукта все чаще предпочитают использовать его для скрытного и эффективного продвижения по сети, нежели чем такие более «шумные» техники, как например, PsExec, SMBExec, WMIExec или создание групповой политики Active Directory (GPO).

Общий принцип: чем сложнее система (даже если это система защиты), тем больше возможностей её взломать. Выбирайте самое простое из решений, которые могут решить поставленную задачу.

Написано 22 мая
Дмитрий @skippy163 Автор вопроса

hint000, нам необходима продвинутая система, решение для Enterprise-сегмента.

Написано 22 мая

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Антивирусы

Средний
Антивирус 360 total security имеет доступ к файлам пользователя?
- 1 подписчик
- 16 нояб.
- 128 просмотров
2

ответа
Информационная безопасность

+1 ещё

Простой
Публикация файлов в интернете только после утверждения ИБ. Что использовать?
- 1 подписчик
- 15 нояб.
- 89 просмотров
1

ответ
Linux

+1 ещё

Простой
Какой дистрибутив выбрать для инфбеза?
- 1 подписчик
- 15 нояб.
- 1202 просмотра
8

ответов
Информационная безопасность

Простой
Как мошенники делают на Госуслугах красную табличку «Кабинет занят, с ним работает оператор» и как этому противодействовать?
- 1 подписчик
- 14 нояб.
- 373 просмотра
2

ответа
Ubuntu

+2 ещё

Простой
Хакнули сервер, как избавиться от майнеров?
- 2 подписчика
- 04 нояб.
- 517 просмотров
2

ответа
Linux

+1 ещё

Средний
Как сделать Linux более безопасным?
- 2 подписчика
- 28 окт.
- 890 просмотров
6

ответов
Информационная безопасность

+1 ещё

Средний
Обеспечивает ли HTTPS полное шифрование и невозможность компрометации данных?
- 4 подписчика
- 26 окт.
- 4886 просмотров
8

ответов
Компьютерные сети

+2 ещё

Простой
Заблокированные сайты свободно открываются без VPN — почему?
- 1 подписчик
- 24 окт.
- 21698 просмотров
7

ответов
Антивирусы

Средний
Как исправить ошибку Kaspersky Security Center 13 по проверке подключения к Серверу администрирования?
- 1 подписчик
- 22 окт.
- 45 просмотров
1

ответ
Информационная безопасность

+1 ещё

Простой
Я хочу разделить хостинг который я буду арендовать между мной и другим человеком. Это нормально?
- 1 подписчик
- 16 окт.
- 347 просмотров
1

ответ
Показать ещё Загружается…

Специалист по управлению уязвимостями (информационная безопасность)

Гринатом • Москва

от 100 000 до 120 000 ₽

Руководитель направления информационной безопасности ОКИИ

Интер РАО – Управление сервисами • Санкт-Петербург

от 180 000 ₽

Старший специалист по информационной безопасности (аттестация ОИ)

Гринатом • Москва

До 120 000 ₽

Необходимо поменять пароль в WINDOWS

24 нояб. 2024, в 03:11

500 руб./за проект

Требуется консультация по UX-дизайну казино

24 нояб. 2024, в 01:35

5000 руб./за проект

Расширение для браузера

24 нояб. 2024, в 01:24

500 руб./за проект

встроенного антивируса виндовс уже недостаточно?
Drno, просто к Windows Pro они еще на всякий случай, для безопасности, прикупили Windows Home... :)
Drno, в масштабах нашей организации нет.
Информация к размышлению.
https://www.facct.ru/blog/ransomware-2023-2024/

Для распространения программы-вымогателя в сети жертвы и для ее запуска на хостах Windows атакующие воспользовались популярным корпоративным антивирусным программным обеспечением, установленным в ИТ-инфраструктуре компании. Для удаленного запуска программы-вымогателя атакующие создали инсталляционный пакет (рис. 15) и соответствующую задачу. Надо отметить, что продвинутые атакующие при получении доступа к панели управления данного антивирусного продукта все чаще предпочитают использовать его для скрытного и эффективного продвижения по сети, нежели чем такие более «шумные» техники, как например, PsExec, SMBExec, WMIExec или создание групповой политики Active Directory (GPO).

Общий принцип: чем сложнее система (даже если это система защиты), тем больше возможностей её взломать. Выбирайте самое простое из решений, которые могут решить поставленную задачу.
hint000, нам необходима продвинутая система, решение для Enterprise-сегмента.

Что выбрать: KES + KEDR или только KEDR?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт