Kaspersky Endpoint Detection and Response (KATA) 集成任务(KATAEDR,ID:24)

Kaspersky Endpoint Security 与 Kaspersky Anti Targeted Attack Platform 解决方案兼容,旨在保护组织的 IT 基础设施并迅速检测威胁,例如零日攻击、针对性攻击和高级持续性威胁 (APT)。要了解更多信息,请查看“Kaspersky Anti Targeted Attack Platform 帮助”。

Kaspersky Endpoint Detection and Response (KATA) 是 Kaspersky Anti Targeted Attack Platform 解决方案的一个组件。

与 Kaspersky Endpoint Detection and Response (KATA) 交互时,Kaspersky Endpoint Security 可以:

网络隔离限制

使用网络隔离时,我们强烈建议您熟悉下述限制。

要使网络隔离起作用,必须运行 Kaspersky Endpoint Security。如果 Kaspersky Endpoint Security 出现故障(并且该应用程序未运行),当 Kaspersky Anti Targeted Attack Platform 启用网络隔离时,流量可能不会被阻止。

启用网络隔离的传输流量受到支持,但有限制,并且可能会被过滤。

DHCP 和 DNS 不会自动添加到网络隔离例外中,因此如果在网络隔离期间更改资源的网络地址,Kaspersky Endpoint Security 将无法访问该资源。这同样适用于容错 KATA 服务器的节点。我们建议不要更改它们的地址,这样 Kaspersky Endpoint Security 不会与它们失去联系。

代理服务器也不会被自动添加到网络隔离排除项中,因此您需要手动将其添加到排除项中,以便 Kaspersky Endpoint Security 不会失去与 KATA 服务器的联系。

不支持按名称向网络隔离添加进程和从网络隔离中排除进程。

使用网络隔离时,我们建议使用 KSN 代理服务器与卡巴斯基安全网络交互、使用 Kaspersky Security Center 作为代理服务器来激活应用程序,并指定 Kaspersky Security Center 作为数据库更新源。如果无法使用 Kaspersky Security Center 作为代理服务器,请配置所需代理服务器的设置并将其添加到例外中。

集成条件

Kaspersky Endpoint Detection and Response (KATA) 集成任务允许您配置和启用 Kaspersky Endpoint Security 应用程序与 Kaspersky Endpoint Detection and Response (KATA) 组件的集成。您还可以使用 Kaspersky Security Center 管理控制台Kaspersky Security Center Web Console 管理 Kaspersky Endpoint Security 与 Kaspersky Endpoint Detection and Response (KATA) 的集成。

不支持在 Kaspersky Security Center 云控制台中管理 Kaspersky Endpoint Detection and Response (KATA) 集成设置。

为了与 Kaspersky Endpoint Detection and Response (KATA) 集成,必须启用行为检测任务。

仅当启用行为检测时,才可以将 Kaspersky Endpoint Security 应用程序与 Kaspersky Endpoint Security and Response (KATA) 集成。否则,无法传输所需的遥测数据。

要使遥测排除项起作用,必须禁用 Kaspersky Endpoint Security 和卡巴斯基托管检测与响应解决方案的集成。如果启用 Kaspersky Endpoint Security 和卡巴斯基托管检测与响应的集成,则不会应用按进程排除。

Kaspersky Endpoint Detection and Response (KATA) 还可以使用从以下任务收到的数据:

保护连接

当与 Kaspersky Endpoint Detection and Response (KATA) 集成时,具有 Kaspersky Endpoint Security 的设备会通过 HTTPS 协议与 KATA 服务器建立安全连接。为确保安全连接,使用 KATA 服务器颁发的以下证书:

用于保护与 KATA 服务器的连接的证书由 Kaspersky Anti Targeted Attack Platform 管理员提供。

如果在 Kaspersky Endpoint Security 的常规应用程序设置中配置了使用代理服务器,则使用代理服务器连接到 KATA 服务器。

记录事件

如果 Kaspersky Endpoint Security 与 Kaspersky Anti Targeted Attack Platform 集成,可以将大量事件写入 systemd 日志。如果要禁用将审计事件记录到 systemd 日志,请禁用 systemd-journald-audit 套接字并重新启动操作系统。

要禁用 systemd-journald-audit 套接字,请运行以下命令:

systemctl stop systemd-journald-audit.socket

systemctl disable systemd-journald-audit.socket

systemctl mask systemd-journald-audit.socket

在本帮助部分中

Kaspersky Endpoint Detection and Response (KATA) 集成任务设置

管理用于连接到 KATA 服务器的证书

页面顶部