Aufgabe zur Integration mit Kaspersky Endpoint Detection and Response (KATA) (KATAEDR, ID:24)

Kaspersky Endpoint Detection and Response (KATA) (im Weiteren auch EDR (KATA)) ist eine Komponente der Kaspersky Anti Targeted Attack Platform, die darauf ausgelegt ist, die IT-Infrastruktur einer Organisation zu schützen und Bedrohungen wie Zero-Day-Angriffe, zielgerichtete Angriffe und Advanced Persistent Threats (im Folgenden auch "APT") rechtzeitig zu erkennen. Weitere Informationen zu der Lösung finden Sie in der Hilfe zur Kaspersky Anti Targeted Attack Platform.

Im Rahmen der Interaktion mit EDR (KATA) kann Kaspersky Endpoint Security die folgenden Funktionen ausführen:

• Übertragen von Daten über Ereignisse auf Geräten (Telemetriedaten) an den Server von Kaspersky Anti Targeted Attack Platform mit der Komponente Central Node (im Folgenden auch "KATA-Server"). Kaspersky Endpoint Security sendet neben Überwachungsdaten zu Prozessen, offenen Netzwerkverbindungen und geänderten Dateien auch Daten zu den von der App erkannten Bedrohungen und zu den Verarbeitungsergebnissen dieser Bedrohungen an den KATA-Server.
• Ausführen von empfangenen Aufgaben aus Kaspersky Anti Targeted Attack Platform, um Sicherheitsfunktionen bereitzustellen.

Die Aufgabe "Integration mit Kaspersky Endpoint Detection and Response (KATA)" ermöglicht Ihnen die Integration von Kaspersky Endpoint Security mit der EDR-Komponente (KATA) zu konfigurieren und zu aktivieren. Sie können die Integration von Kaspersky Endpoint Security mit EDR (KATA) auch über die Verwaltungskonsole von Kaspersky Security Center und die Web Console von Kaspersky Security Center verwalten.

Das Verwalten der Einstellungen zur Integration mit EDR (KATA) mittels Kaspersky Security Center Cloud Console wird nicht unterstützt.

Für die Integration mit EDR (KATA) muss die Aufgabe zur Verhaltensanalyse ausgeführt werden.

Die Integration von Kaspersky Endpoint Security mit EDR (KATA) ist nur möglich, wenn diese Aufgabe ausgeführt wird. Andernfalls werden die notwendigen Telemetriedaten nicht übertragen.

Darüber hinaus kann EDR (KATA) auch Daten verwenden, die aus den folgenden Aufgaben stammen:

• Schutz vor bedrohlichen Dateien.
• Schutz vor Netzwerkbedrohungen.
• Schutz vor Web-Bedrohungen.

Während der Integration mit EDR (KATA) stellen Geräte mit Kaspersky Endpoint Security über das HTTPS-Protokoll sichere Verbindungen mit dem KATA-Server her. Um die Sicherheit dieser Verbindung zu gewährleisten, werden die folgenden, vom KATA-Server ausgestellten, Zertifikate verwendet:

• Zertifikat des KATA-Servers. Die Verbindung wird mit dem TLS-Zertifikat des Servers verschlüsselt. Sie können die Sicherheit der Verbindung erhöhen, indem Sie in Kaspersky Endpoint Security die Überprüfung des Serverzertifikats aktivieren. Dafür müssen Sie vor dem Ausführen der Aufgabe zur Integration mit Kaspersky Endpoint Detection and Response (KATA) das Zertifikat des Integrationsservers hinzufügen.
• Client-Zertifikat. Dieses Zertifikat dient dem zusätzlichen Schutz der Verbindung durch Zwei-Wege-Authentifizierung (Überprüfung der Geräte mit dem KATA-Server von Kaspersky Endpoint Security). Mehrere Geräten können dasselbe Client-Zertifikat verwenden. Standardmäßig überprüft der KATA-Server keine Client-Zertifikate, aber die Zwei-Wege-Authentifizierung kann auf der Seite von Kaspersky Anti Targeted Attack Platform aktiviert werden. In diesem Fall müssen Sie die Zwei-Wege-Authentifizierung in den Einstellungen der Aufgabe zur Integration mit Kaspersky Endpoint Detection and Response (KATA) aktivieren und ein Client-Zertifikat hinzufügen (ein Crypto-Container mit einem Zertifikat und einem privaten Schlüssel).

Die Zertifikate zur Sicherung der Verbindung zum KATA-Server werden vom Administrator der Kaspersky Anti Targeted Attack Platform bereitgestellt.

Wenn in den allgemeinen Einstellungen von Kaspersky Endpoint Security die Verwendung eines Proxy-Servers konfiguriert ist, wird für die Verbindung zum KATA-Server ein Proxy-Server verwendet.

Im Rahmen der Integration von Kaspersky Endpoint Security mit Kaspersky Anti Targeted Attack Platform kann im systemd-Protokoll eine große Anzahl an Ereignissen eingetragen werden. Wenn Sie das Eintragen der Audit-Ereignisse in systemd deaktivieren wollen, müssen Sie den Socket systemd-journald-audit deaktivieren und das Betriebssystem neu starten.

So deaktivieren Sie den Socket systemd-journald-audit:

systemctl stop systemd-journald-audit.socket

systemctl disable systemd-journald-audit.socket

systemctl mask systemd-journald-audit.socket

In diesem Hilfeabschnitt Einstellungen der Aufgabe zur Kaspersky Endpoint Detection and Response (KATA) Verwaltung der Zertifikate für die Verbindung mit KATA-Servern

Nach oben