Kaspersky Endpoint Detection and Response (KATA) (далее также EDR (KATA)) – компонент в составе решения Kaspersky Anti Targeted Attack Platform, которое предназначено для защиты IT-инфраструктуры организации и своевременного обнаружения таких угроз, как атаки "нулевого дня", целевые атаки и сложные целевые атаки advanced persistent threats (далее также "APT"). Подробнее о решении см. в справке Kaspersky Anti Targeted Attack Platform.
При взаимодействии с EDR (KATA) приложение Kaspersky Endpoint Security может выполнять следующие функции:
Задача Интеграция с Kaspersky Endpoint Detection and Response (KATA) позволяет настроить и включить интеграцию приложения Kaspersky Endpoint Security с компонентом EDR (KATA). Вы также можете управлять интеграцией приложения Kaspersky Endpoint Security с EDR (KATA) с помощью Консоли администрирования Kaspersky Security Center и Kaspersky Security Center Web Console.
Не поддерживается управление параметрами интеграции с EDR (KATA) через Kaspersky Security Center Cloud Console.
Для интеграции с EDR (KATA) должна быть запущена задача Анализ поведения.
Интеграция приложения Kaspersky Endpoint Security с EDR (KATA) возможна, только если эта задача запущена. В противном случае необходимые данные телеметрии не передаются.
Дополнительно EDR (KATA) может использовать данные, полученные от следующих задач:
Во время интеграции с EDR (KATA), устройства с Kaspersky Endpoint Security устанавливают защищенные соединения с сервером KATA по протоколу HTTPS. Для обеспечения безопасности соединения используются следующие сертификаты, выданные cервером KATA:
Сертификаты для защиты соединения с сервером KATA предоставляет администратор Kaspersky Anti Targeted Attack Platform.
Для подключения к серверу KATA используется прокси-сервер, если использование прокси-сервера настроено в общих параметрах приложения Kaspersky Endpoint Security.
При интеграции приложения Kaspersky Endpoint Security с решением Kaspersky Anti Targeted Attack Platform в журнал systemd может записываться большое количество событий. Если вы хотите отключить запись событий аудита в systemd, вам нужно отключить сокет systemd-journald-audit и перезагрузить операционную систему.
Чтобы отключить сокет systemd-journald-audit, выполните следующие команды:
systemctl stop systemd-journald-audit.socket
systemctl disable systemd-journald-audit.socket
systemctl mask systemd-journald-audit.socket