Integration des GenAI-Assistenten KIRA AI zur Unterstützung von SOC-Analysten bei Threat Hunting, Analyse und Reporting
- Migration von Kaspersky Next EDR Expert auf die Open Single Management Platform mit zentraler Konsole für EPP, EDR, XDR und SIEM
- Integration des GenAI-Assistenten KIRA AI zur Unterstützung von SOC-Analysten bei Threat Hunting, Analyse und Reporting
- Erweiterte EDR-Funktionen inklusive Playbooks, und Angriffsentwicklungsdiagramm
Kaspersky stärkt mit einem umfassenden Update seine Produktlinie Kaspersky Next [1]. Neben erweiterten EDR-Funktionen und optimierter MDR-Integration setzt die Lösung verstärkt auf KI: Neue Mechanismen erkennen kompromittierte Konten und DLL-Hijacking automatisiert, während der GenAI-Assistent KIRA AI Analysten bei Threat Hunting, Vorfallanalyse und Reporting unterstützt. Die Migration auf die Open Single Management Platform sorgt zudem für konsolidierte Prozesse und höhere Effizienz bei gleichzeitig reduziertem Ressourcenbedarf.
Jedes dritte Unternehmen weltweit plant die Integration von EDR (Endpoint Detection and Response) oder XDR (Extended Detection and Response) in sein Security Operations Center (SOC), um einen fortschrittlichen und zuverlässigen Schutz sicherzustellen [2]. Das unterstreicht die wachsende Bedeutung einheitlicher, proaktiver Sicherheitslösungen im Kampf gegen zunehmend komplexe Cyberbedrohungen.
Vor diesem Hintergrund hat Kaspersky seine Produktlinie Kaspersky Next – bestehend aus den zwei Hauptproduktkategorien Kaspersky Next Optimum [3] für mittelständische Unternehmen und Kaspersky Next Expert [4] für Unternehmen jeder Größe – weiterentwickelt, um Organisationen mit noch leistungsfähigeren und umfassenderen Cybersicherheitstechnologien auszustatten. In der aktuellen Version erhält Kaspersky Next Expert wesentliche Erweiterungen in den Bereichen KI-gestützte Technologien, EDR-Funktionalitäten sowie flexible Bereitstellungsmodelle.
Kaspersky Next EDR Expert wurde auf die Open Single Management Platform (OSMP) migriert und bündelt nun zentrale SOC-Werkzeuge wie EPP, EDR, XDR und SIEM in einer einheitlichen Managementkonsole. Dadurch wird eine nahtlose Interaktion zwischen den Komponenten sowie die Integration von Kaspersky- und Drittanbieterlösungen ermöglicht. Gleichzeitig gewährleistet der implementierte Single-Sign-On-Dienst einen reibungslosen Wechsel zwischen OSMP- und Kaspersky Anti Targeted Attack / Network Detection and Response- (KATA/NDR-) Schnittstellen, so dass EDR- und NDR-Funktionen parallel und effizient genutzt werden können.
Für umfangreiche Installationen bietet das Update zudem eine optimierte Skalierung und senkt den Ressourcenbedarf um bis zu 30 Prozent für Nutzer von Kaspersky Next EDR Expert [5] sowie um bis zu 60 Prozent für Nutzer von Kaspersky Next XDR Expert [6].
DLL-Hijacking-Erkennung, KI-Assistent und Integration von KIRA AI
Die aktualisierte Version von Kaspersky Next gibt Unternehmen Zugriff auf erweiterte KI-Funktionen. Dazu zählt unter anderem die präzise Erkennung von DLL-Hijacking mit automatischer Alarmierung: Die KI analysiert Start- und Ausführungsparameter von Anwendungen und identifiziert verdächtige Konstellationen, bei denen legitime Software in Kombination mit manipulierten oder schädlichen Bibliotheken ausgeführt wird. Auf diese Weise erkennt die Lösung Angriffe zuverlässig und generiert automatisch Warnmeldungen.
Darüber hinaus ermöglicht ein KI-gestützter Mechanismus die Identifikation potenziell kompromittierter Nutzerkonten. Mithilfe erweiterter Korrelationsregeln wird zunächst eine Basislinie regulärer Anmeldeaktivitäten definiert. Abweichungen von diesem Normalverhalten werden erkannt und bei Hinweisen auf einen möglichen Kontodiebstahl automatisch gemeldet.
Zusätzlich wurde der Kaspersky Investigation and Response Assistant „KIRA AI“ in Kaspersky Next integriert. KIRA AI unterstützt SOC-Analysten durch die Entschlüsselung von Befehlszeilen, die Bereitstellung detaillierter Analysen und die Erstellung prägnanter Berichte, um die kognitive Belastung zu reduzieren.
KIRA bietet unter anderem folgende Funktionen:
- Intelligente Formulierung von Threat-Hunting-Abfragen im Klartext: Das System übersetzt eine natürliche Anfrage automatisch in eine strukturierte Abfrage, die mit der Telemetriedatenbank kompatibel ist. Analysten können die generierte Abfrage überprüfen, ihre Logik validieren und bei Bedarf Parameter oder Syntax anpassen.
- Schnelle Generierung von Vorfallzusammenfassungen in Textform: Innerhalb der Vorfallkarte wird eine KI-generierte Zusammenfassung angezeigt, die den Vorfallablauf erläutert, einschließlich des anfänglichen Angriffsvektors und der Aktionen des Angreifers während des gesamten Vorfalls. Dies ermöglicht es, die wichtigsten Details schnell zu erfassen, ohne alle zugrunde liegenden Ereignisdaten prüfen zu müssen.
Optimierte EDR-Funktionen in Kaspersky Next Expert
Durch die Anpassungen der Kaspersky Next-Produktlinie erhält Kaspersky Next Expert erweiterte EDR-Funktionen sowie mehr Sicherheit und Effizienz:
- Eine optimierte Integration mit Kaspersky Managed Detection and Response [7] ermöglicht eine nahtlose Zusammenarbeit und damit eine schnellere und besser koordinierte Reaktion auf Bedrohungen.
- Eine optimierte Überwachung der Statusmetriken der Serverkomponenten des Produkts gewährleistet optimale Leistung und Zuverlässigkeit, minimiert Ausfallzeiten und sorgt für Stabilität.
- Erweiterte Funktionen des Linux-EDR-Agenten unterstützen Unternehmen dabei, Bedrohungen in unterschiedlichen Umgebungen effektiver zu erkennen und abzuwehren.
Des Weiteren wurden folgende Funktionen neu hinzugefügt:
- Playbooks, um eine automatisierte oder manuelle Reaktion auf Vorfälle zu ermöglichen und die Zeit von der Bedrohungserkennung bis zur Neutralisierung zu verkürzen.
- die Möglichkeit, Warnmeldungen in Vorfälle zusammenzuführen. So können sich Analysten auf das Gesamtbild des Angriffs konzentrieren, Informationsrauschen reduzieren und die Reaktion auf die kritischsten Bedrohungen priorisieren.
- ein Diagramm zur Angriffsentwicklung. Dieses bietet einen visuellen Überblick über die Angriffskette und unterstützt Analysten bei der schnellen Beurteilung von Ausmaß, Vektoren, Phasen und Reaktionspunkten der Bedrohung.
- die Möglichkeit, über eine Remote-Terminal-„Live Shell“ auf geschützte Geräte zu reagieren. Dies reduziert die Reaktionszeit erheblich und ermöglicht die Echtzeit-Anzeige der Reaktionsergebnisse in der Remote-Terminal-Konsole.
- eine verbesserte rollenbasierte Zugriffskontrolle (RBAC) mit erweiterten Funktionen zur Verwaltung von Konten wie beispielsweise Nutzerkonten.
- unter anderem das Bearbeiten, Löschen und Verschieben von Dokumenten sowie ein flexibles Rollenmanagement, einschließlich Änderungen und der Zuweisung mehrerer Rollen.
„Das Update von Kaspersky Next unterstreicht unser Engagement, Cybersicherheitsteams mit intelligenteren und besser integrierten Lösungen auszustatten“, so Ilya Markelov, Head of Unified Platforms bei Kaspersky. „Durch die Zusammenführung von SOC-Tools auf einer einzigen Plattform und die Verbesserung von EDR- und KI-Funktionen ermöglichen wir eine schnellere und präzisere Bedrohungserkennung sowie einen effizienteren Betrieb und setzen damit neue Maßstäbe für proaktiven Cyberschutz.“
Weitere Informationen zu Kaspersky Next sind verfügbar unter https://www.kaspersky.de/next
[1] https://www.kaspersky.de/next
[3] https://www.kaspersky.de/next-optimum
[4] https://www.kaspersky.de/small-to-medium-business-security
[5] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr
[6] https://www.kaspersky.de/enterprise-security/xdr
[7] https://www.kaspersky.de/enterprise-security/managed-detection-and-response
Nützliche Links:
- Kaspersky Next-Produktlinie: https://www.kaspersky.de/next
- Kaspersky Managed Detection and Response: https://www.kaspersky.de/enterprise-security/managed-detection-and-response
