Aufgabe zur Integration mit Kaspersky Endpoint Detection and Response (KATA) (KATAEDR, ID:24)

Kaspersky Endpoint Security unterstützt die Kaspersky Anti Targeted Attack Platform, die darauf ausgelegt ist, die IT-Infrastruktur einer Organisation zu schützen und Bedrohungen wie Zero-Day-Angriffe, zielgerichtete Angriffe und Advanced Persistent Threats (im Folgenden auch "APT") rechtzeitig zu erkennen. Weitere Informationen zu der Lösung finden Sie in der Hilfe zu Kaspersky Anti Targeted Attack Platform.

Endpoint Detection and Response (KATA) (im Weiteren auch EDR (KATA)) ist eine Komponente der Kaspersky Anti Targeted Attack Platform.

Im Rahmen der Interaktion mit EDR (KATA) kann Kaspersky Endpoint Security die folgenden Funktionen ausführen:

• Übertragen von Daten über Ereignisse auf Geräten (Telemetriedaten) an den Server von Kaspersky Anti Targeted Attack Platform mit der Komponente Central Node (im Folgenden auch "KATA-Server"). Kaspersky Endpoint Security sendet neben Überwachungsdaten zu Prozessen, offenen Netzwerkverbindungen und geänderten Dateien auch Daten zu den von der App erkannten Bedrohungen und zu den Verarbeitungsergebnissen dieser Bedrohungen an den KATA-Server.
• Ausführen der folgenden Reaktionsmaßnahmen, um die Sicherheitsfunktionen mittels der Befehle sicherzustellen, die von Kaspersky Anti Targeted Attack Platform übertragen wurden:
  • Mit der Aufgabe "Datei abrufen" (Get file task) können Sie Dateien von Benutzergeräten empfangen. Beispielsweise können Sie das Abrufen einer Ereignisprotokolldatei konfigurieren, die von einem Drittanbieterprogramm generiert wird.
  • Mit der Aufgabe "Datei löschen" (Delete file task) können Sie eine Datei vom Gerät löschen.
  • Mit der Aufgabe "Prozess starten" (Run process) können Sie auf einem Gerät Dateien remote-ausführen. Sie können beispielsweise remote ein Tool starten, das eine Gerätekonfigurationsdatei erstellt, und diese Datei anschließend mittels der Aufgabe "Datei abrufen" abrufen.
  • Mit der Aufgabe "Prozess beenden" (Terminate Process) können Sie Prozesse auf einem Gerät Prozesse remote beenden. Sie können beispielsweise remote ein Tool zur Messung der Internet-Geschwindigkeitstest beenden, welches vorher mit der Aufgabe "Prozess starten" gestartet wurde.
  • Mit Aufgabe "IOC-Untersuchung" (IOC Scan task) können Sie auf einem Gerät Kompromittierungsindikatoren erkennen und Maßnahmen ergreifen, um auf Bedrohungen zu reagieren. Kompromittierungsindikator Ein Kompromittierungsindikator (engl. Indicator of Compromise, IOC) bezeichnet eine Menge von Informationen über ein Objekt oder eine Aktivität, die auf einen unbefugten Zugriff auf ein Gerät hinweisen (Kompromittierung der Daten). Um IOCs zu finden, werden IOC-Dateien verwendet. Beim Ausführen der Aufgabe zur IOC-Untersuchung erfolgt die Prüfung anhand von IOC-Bewertungen (Eigenschaften eines IOC-Objekts, z. B. der Hash einer Datei) nur im Hauptnamensraum des Betriebssystems. Die Aufgabe zur IOC-Untersuchung berechnet keine Hashes für Dateien, die größer als 200 MB sind.

    Eine Datei mit einem Satz von IOC-Indikatoren, die – wenn sie für die Anwendung übereinstimmen – als Erkennung gewertet werden. Die Wahrscheinlichkeit einer Erkennung kann steigen, wenn die Untersuchung für die Daten des untersuchten Objekts mehrere exakte Übereinstimmungen mit IOC-Dateien liefert.

  • Mithilfe der Netzwerkisolation können Sie Geräte vom Netzwerk isolieren. Sie können die Netzwerkisolation eines Geräts deaktivieren, wenn Sie nach der Aktivierung der Netzwerkisolation die Verbindung zum KATA-Server verlieren.

Einschränkungen der Netzwerkisolation

Bei Verwendung der Netzwerkisolation wird dringend empfohlen, dass Sie sich mit den unten beschriebenen Einschränkungen vertraut machen.

Damit die Netzwerkisolation funktioniert, muss Kaspersky Endpoint Security ausgeführt werden. Bei einem Ausfall von Kaspersky Endpoint Security (d. h., die App wird nicht ausgeführt) ist die Blockierung des Datenverkehrs bei aktivierter Netzwerkisolation durch Kaspersky Anti Targeted Attack Platform nicht garantiert.

Während aktivierter Netzwerkisolation wird durchgeleiteter Datenverkehr (Transit) eingeschränkt unterstützt und kann gefiltert werden.

DHCP und DNS werden nicht automatisch zu den Ausnahmen der Netzwerkisolation hinzugefügt. Wenn also die Netzwerkadresse einer Ressource während der Netzwerkisolation geändert wurde, kann Kaspersky Endpoint Security nicht darauf zugreifen. Gleiches gilt für die Knoten eines fehlertoleranten KATA-Servers. Es wird nicht empfohlen, ihre Adressen zu ändern, damit Kaspersky Endpoint Security die Verbindung zu ihnen nicht verliert.

Proxyserver werden nicht automatisch zu den Ausnahmen für die Netzwerkisolation hinzugefügt. Damit Kaspersky Endpoint Security die Verbindung zum KATA-Server nicht verliert, müssen Sie daher einen Proxy-Server manuell zu den Ausnahmen hinzufügen.

Das Hinzufügen zu und Ausschließen aus der Netzwerkisolation eines Prozesses anhand seines Namens wird nicht unterstützt.

Bei Verwendung der Netzwerkisolation wird empfohlen, den KSN-Proxy-Server für die Interaktion mit Kaspersky Security Network zu verwenden, Kaspersky Security Center als Proxyserver zum Aktivieren der Anwendung zu verwenden und Kaspersky Security Center als Quelle für die Datenbankaktualisierungen anzugeben. Wenn es nicht möglich ist, Kaspersky Security Center als Proxy-Server zu verwenden, konfigurieren Sie die Einstellungen des erforderlichen Proxyservers und fügen Sie ihn zu den Ausnahmen hinzu.

Bedingungen für die Integration

Die Aufgabe "Integration mit Kaspersky Endpoint Detection and Response (KATA)" ermöglicht Ihnen die Integration von Kaspersky Endpoint Security mit der EDR-Komponente (KATA) zu konfigurieren und zu aktivieren. Sie können die Integration von Kaspersky Endpoint Security mit EDR (KATA) auch über die Verwaltungskonsole von Kaspersky Security Center und die Web Console von Kaspersky Security Center verwalten.

Das Verwalten der Integrationseinstellungen mit EDR (KATA) mittels Kaspersky Security Center Cloud Console wird nicht unterstützt.

Für die Integration mit EDR (KATA) muss die Aufgabe zur Verhaltensanalyse ausgeführt werden.

Die Integration von Kaspersky Endpoint Security mit EDR (KATA) ist nur möglich, wenn die Aufgabe zur Verhaltensanalyse ausgeführt wird. Andernfalls werden die notwendigen Telemetriedaten nicht übertragen.

Damit das Ausschließen aus Telemetriedaten funktioniert, muss die Integration von Kaspersky Endpoint Security mit Kaspersky Managed Detection and Response deaktiviert werden. Wenn die Integration von Kaspersky Endpoint Security mit Kaspersky Managed Detection and Response aktiviert ist, werden keine Ausschlüsse nach Prozess angewendet.

Darüber hinaus kann EDR (KATA) auch Daten verwenden, die aus den folgenden Aufgaben stammen:

• Schutz vor bedrohlichen Dateien.
• Schutz vor Netzwerkbedrohungen.
• Schutz vor Web-Bedrohungen.

Verbindungssicherheit

Während der Integration mit EDR (KATA) stellen Geräte mit Kaspersky Endpoint Security über das HTTPS-Protokoll sichere Verbindungen mit dem KATA-Server her. Um die Sicherheit dieser Verbindung zu gewährleisten, werden die folgenden, vom KATA-Server ausgestellten, Zertifikate verwendet:

• Zertifikat des KATA-Servers. Die Verbindung wird mit dem TLS-Zertifikat des Servers verschlüsselt. Sie können die Sicherheit der Verbindung erhöhen, indem Sie in Kaspersky Endpoint Security die Überprüfung des Serverzertifikats aktivieren. Dafür müssen Sie vor dem Ausführen der Aufgabe zur Integration mit Kaspersky Endpoint Detection and Response (KATA) das Zertifikat des Integrationsservers hinzufügen.
• Client-Zertifikat. Dieses Zertifikat dient dem zusätzlichen Schutz der Verbindung durch Zwei-Wege-Authentifizierung (Überprüfung der Geräte mit dem KATA-Server von Kaspersky Endpoint Security). Mehrere Geräte können dasselbe Client-Zertifikat verwenden. Standardmäßig überprüft der KATA-Server keine Client-Zertifikate, aber die Zwei-Wege-Authentifizierung kann auf der Seite von Kaspersky Anti Targeted Attack Platform aktiviert werden. In diesem Fall müssen Sie die Zwei-Wege-Authentifizierung in den Einstellungen der Aufgabe zur Integration mit Kaspersky Endpoint Detection and Response (KATA) aktivieren und ein Client-Zertifikat hinzufügen (ein Crypto-Container mit einem Zertifikat und einem privaten Schlüssel).

Die Zertifikate zur Sicherung der Verbindung zum KATA-Server werden vom Administrator der Kaspersky Anti Targeted Attack Platform bereitgestellt.

Wenn in den allgemeinen Einstellungen von Kaspersky Endpoint Security die Verwendung eines Proxy-Servers konfiguriert ist, wird für die Verbindung zum KATA-Server ein Proxy-Server verwendet.

Protokolleinträge von Ereignissen

Im Rahmen der Integration von Kaspersky Endpoint Security mit Kaspersky Anti Targeted Attack Platform kann im systemd-Protokoll eine große Anzahl an Ereignissen eingetragen werden. Wenn Sie das Eintragen der Audit-Ereignisse in systemd deaktivieren wollen, müssen Sie den Socket systemd-journald-audit deaktivieren und das Betriebssystem neu starten.

So deaktivieren Sie den Socket systemd-journald-audit:

systemctl stop systemd-journald-audit.socket

systemctl disable systemd-journald-audit.socket

systemctl mask systemd-journald-audit.socket