Что выбрать: KES + KEDR или только KEDR?

Question

Дмитрий @skippy163

Что выбрать: KES + KEDR или только KEDR?

Доброго дня! Сейчас проходим этап формирования SOC и возник вопрос: ограничиться ли только внедрением KEDR (Endpoint detection and responce), при том что у нас также будет SIEM (система мониторинга). Либо же внедрить KEDR (который вроде как является продвинутым антивирусом) + дополнительно антивирус (Kaspersky endpoint security). Наш поставщик услуг говорит нам, что желательно оба эти решения интегрировать, чтобы они работали в связке. Но для чего конкретно нам необходим отдельно KES (если вроде как весь его функционал покрывает KEDR), пока непонятно. Ниже прикрепляю сводную таблицу по функционалу. Уверен, что наверняка среди нас есть эксперты с опытом внедрения SOC. Прошу дать своё оценочное суждение и видение данного вопроса. Спасибо!

Вопрос задан более года назад
850 просмотров

5 комментариев

Подписаться 1 Средний 5 комментариев

Drno @Drno

встроенного антивируса виндовс уже недостаточно?

Написано более года назад
Adamos @Adamos

Drno, просто к Windows Pro они еще на всякий случай, для безопасности, прикупили Windows Home... :)

Написано более года назад
Дмитрий @skippy163 Автор вопроса

Drno, в масштабах нашей организации нет.

Написано более года назад
hint000 @hint000

Информация к размышлению.
https://www.facct.ru/blog/ransomware-2023-2024/

Для распространения программы-вымогателя в сети жертвы и для ее запуска на хостах Windows атакующие воспользовались популярным корпоративным антивирусным программным обеспечением, установленным в ИТ-инфраструктуре компании. Для удаленного запуска программы-вымогателя атакующие создали инсталляционный пакет (рис. 15) и соответствующую задачу. Надо отметить, что продвинутые атакующие при получении доступа к панели управления данного антивирусного продукта все чаще предпочитают использовать его для скрытного и эффективного продвижения по сети, нежели чем такие более «шумные» техники, как например, PsExec, SMBExec, WMIExec или создание групповой политики Active Directory (GPO).

Общий принцип: чем сложнее система (даже если это система защиты), тем больше возможностей её взломать. Выбирайте самое простое из решений, которые могут решить поставленную задачу.

Написано более года назад
Дмитрий @skippy163 Автор вопроса

hint000, нам необходима продвинутая система, решение для Enterprise-сегмента.

Написано более года назад

Помогут разобраться в теме Все курсы

Нетология

Системный администратор

11 месяцев

Далее
Skillfactory

Профессия «Белый» хакер

13 месяцев

Далее
Яндекс Практикум

Специалист по информационной безопасности: веб-пентест

6 месяцев

Далее

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Информационная безопасность

Простой
Как начать карьеру в SOC?
- 1 подписчик
- 23 окт.
- 94 просмотра
0

ответов
Информационная безопасность

+1 ещё

Простой
Безопасно ли использовать OpenSource продукты от крупных корпораций?
- 3 подписчика
- 17 окт.
- 388 просмотров
7

ответов
Информационная безопасность

+1 ещё

Простой
Каким образом можно зашифровать файлы, или может есть готовое решение, или облачное решение?
- 3 подписчика
- 16 окт.
- 296 просмотров
4

ответа
Информационная безопасность

Простой
Насколько безопасен проброс порта?
- 1 подписчик
- 01 окт.
- 267 просмотров
5

ответов
Антивирусы

Простой
Что за ошибка в KSC при создании автономного пакета?
- 1 подписчик
- 30 сент.
- 42 просмотра
1

ответ
Информационная безопасность

Средний
Есть ли SD-карты с аппаратным «на лету» ассиметричным шифрованием определённых файлов?
- 1 подписчик
- 30 сент.
- 191 просмотр
2

ответа
Информационная безопасность

+1 ещё

Простой
Почему lsass.exe нагружает сетевую активность?
- 4 подписчика
- 22 сент.
- 547 просмотров
1

ответ
Антивирусы

+1 ещё

Простой
Почему после запуска VSafe курсор в EDIT начинает скакать через две строки?
- 1 подписчик
- 10 сент.
- 42 просмотра
1

ответ
Информационная безопасность

+1 ещё

Средний
Зачем whatsapp массово пытается подключаться по ssh?
- 16 подписчиков
- 10 сент.
- 5548 просмотров
6

ответов
Информационная безопасность

+1 ещё

Простой
Безопасно ли устанавливать мессенджер max в папку knox?
- 3 подписчика
- 06 сент.
- 1859 просмотров
0

ответов
Показать ещё Загружается…

Senior Flutter Developer

Oggetto • Ростов-на-Дону

До 350 000 ₽

Middle Frontend-разработчик

Польза

от 120 000 до 160 000 ₽

Системный аналитик

ITK academy • Казань

от 75 000 до 130 000 ₽

встроенного антивируса виндовс уже недостаточно?
Drno, просто к Windows Pro они еще на всякий случай, для безопасности, прикупили Windows Home... :)
Drno, в масштабах нашей организации нет.
Информация к размышлению.
https://www.facct.ru/blog/ransomware-2023-2024/

Для распространения программы-вымогателя в сети жертвы и для ее запуска на хостах Windows атакующие воспользовались популярным корпоративным антивирусным программным обеспечением, установленным в ИТ-инфраструктуре компании. Для удаленного запуска программы-вымогателя атакующие создали инсталляционный пакет (рис. 15) и соответствующую задачу. Надо отметить, что продвинутые атакующие при получении доступа к панели управления данного антивирусного продукта все чаще предпочитают использовать его для скрытного и эффективного продвижения по сети, нежели чем такие более «шумные» техники, как например, PsExec, SMBExec, WMIExec или создание групповой политики Active Directory (GPO).

Общий принцип: чем сложнее система (даже если это система защиты), тем больше возможностей её взломать. Выбирайте самое простое из решений, которые могут решить поставленную задачу.
hint000, нам необходима продвинутая система, решение для Enterprise-сегмента.

Что выбрать: KES + KEDR или только KEDR?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт