Die Lösungen Detection and Response von Kaspersky sind Sicherheitssysteme, die darauf ausgelegt sind, komplexe Bedrohungen und Anzeichen von Angriffen auf verschiedenen Ebenen der Infrastruktur eines Unternehmens zu erkennen. Die Lösungen Detection and Response liefern Ihnen Informationen über erkannte Bedrohungen und ermöglichen Ihnen, Reaktionsmaßnahmen zu verwalten.
Kaspersky Endpoint Security kann mit den folgenden Lösungen Detection and Response von Kaspersky interagieren:
Im Rahmen der Integration von Kaspersky Endpoint Security mit den Lösungen Kaspersky Managed Detection and Response und Kaspersky Anti Targeted Attack Platform kann im systemd-Protokoll eine große Anzahl an Ereignissen eingetragen werden. Wenn Sie das Eintragen der Audit-Ereignisse in systemd deaktivieren wollen, müssen Sie den Socket systemd-journald-audit deaktivieren und das Betriebssystem neu starten.
So deaktivieren Sie den Socket systemd-journald-audit:
systemctl stop systemd-journald-audit.socket
systemctl disable systemd-journald-audit.socket
systemctl mask systemd-journald-audit.socket
Die Konfiguration des Dienstes "auditd" ist auf dem Betriebssystem SintezM-Client standardmäßig gegen Änderungen gesperrt, d. h. sie befindet sich im Ausführungsmodus enabled 2. Damit die Komponente "Verhaltensanalyse" bei einer Integration von Kaspersky Endpoint Security mit Kaspersky Managed Detection and Response und Kaspersky Anti Targeted Attack Platform ordnungsgemäß funktioniert, müssen Sie in den Konfigurationsdateien den Ausführungsmodus von auditd in den Modus ohne Sperrung der Konfiguration (d. h. enabled 1) ändern und anschließend einen Neustart des Betriebssystems durchführen.