Интеграция с Kaspersky Anti Targeted Attack Platform

Приложение Kaspersky Endpoint Security совместимо с решением Kaspersky Anti Targeted Attack Platform, которое предназначено для защиты IT-инфраструктуры организации и своевременного обнаружения таких угроз, как атаки "нулевого дня", целевые атаки и сложные целевые атаки advanced persistent threats (далее также "APT"). Подробнее о решении см. в справке Kaspersky Anti Targeted Attack Platform.

Приложение Kaspersky Endpoint Security может интегрироваться со следующими компонентами, входящими в состав решения Kaspersky Anti Targeted Attack Platform:

• Kaspersky Endpoint Detection and Response (KATA) обеспечивает защиту устройств в локальной сети организации. При взаимодействии с Kaspersky Endpoint Detection and Response (KATA) приложение Kaspersky Endpoint Security может выполнять следующие функции:
  • Отправлять данные о событиях на устройствах (телеметрию) на сервер Kaspersky Anti Targeted Attack Platform с компонентом Central Node (далее также сервер KATA). Приложение Kaspersky Endpoint Security передает на сервер KATA данные наблюдения за процессами, открытыми сетевыми соединениями и изменяемыми файлами, а также данные об угрозах, обнаруженных приложением, и данные о результатах обработки этих угроз.
  • Выполнять ответные действия, направленные на обеспечение функций безопасности, по командам, полученным от Kaspersky Anti Targeted Attack Platform.
• Kaspersky Network Detection and Response (KATA) обеспечивает защиту внутренней сети предприятия и отправляет данные о событиях на устройствах (телеметрию) на сервер Kaspersky Anti Targeted Attack Platform с компонентом Central Node (далее также сервер NDR).
• KATA Sandbox выполняет анализ и проверку объектов для выявления вредоносной активности и признаков целевых атак на IT-инфраструктуру организации на специальных серверах с развернутыми виртуальными образами операционных систем (далее также сервер Sandbox).

Интеграцию с этими компонентами решения Kaspersky Endpoint Detection and Response (KATA) обеспечивают следующие компоненты приложения Kaspersky Endpoint Security:

• Endpoint Detection and Response (KATA) (далее также EDR (KATA));
• Network Detection and Response (KATA) (далее также NDR (KATA));
• Sandbox.

Вы можете настроить интеграцию приложения Kaspersky Endpoint Security как со всеми компонентами решения Kaspersky Anti Targeted Attack Platform, так и с каждым компонентом по отдельности.

Для интеграции с компонентами Kaspersky Anti Targeted Attack Platform вам нужно активировать решение Kaspersky Anti Targeted Attack Platform (см. подробнее в справке решения). Активировать компоненты приложения Kaspersky Endpoint Security, обеспечивающие интеграцию, не требуется, основные лицензии Kaspersky Endpoint Security включают в себя эту функциональность.

Интеграция приложения Kaspersky Endpoint Security с Kaspersky Anti Targeted Attack Platform возможна, только если включен компонент Анализ поведения. В противном случае необходимые данные телеметрии не передаются (кроме запросов на синхронизацию).

Компонент Kaspersky Endpoint Detection and Response (KATA) дополнительно может использовать данные, полученные от следующих компонентов:

• Защита от файловых угроз.
• Защита от сетевых угроз.
• Защита от веб-угроз.

Компонент Kaspersky Network Detection and Response (KATA) дополнительно может использовать данные, полученные от следующих компонентов:

• Защита от файловых угроз.
• Защита от сетевых угроз.
• Защита от веб-угроз.
• Защита от шифрования.
• Контроль приложений.
• Контроль устройств.
• Контроль целостности системы.

Во время интеграции с решением Kaspersky Anti Targeted Attack Platform устройства с Kaspersky Endpoint Security устанавливают защищенные соединения с сервером KATA/NDR/Sandbox по протоколу HTTPS. Для обеспечения безопасности соединения используются следующие сертификаты, выданные cервером KATA/NDR/Sandbox:

• Сертификат сервера KATA/NDR/Sandbox. Соединение шифруется с помощью TLS-сертификата сервера. Вы можете повысить уровень безопасности соединения, включив проверку сертификата сервера на стороне Kaspersky Endpoint Security. Для этого вам нужно добавить сертификат сервера KATA/NDR/Sandbox перед включением интеграции с решением Kaspersky Anti Targeted Attack Platform.
• Сертификат клиента. Этот сертификат используется для дополнительной защиты подключения с помощью двусторонней аутентификации (то есть проверки устройств с приложением Kaspersky Endpoint Security сервером KATA/NDR/Sandbox). Один и тот же сертификат клиента может использоваться несколькими устройствами. По умолчанию сервер KATA/NDR/Sandbox не выполняет проверку сертификатов клиентов, но двусторонняя аутентификация может быть включена на стороне Kaspersky Anti Targeted Attack Platform. В этом случае вам нужно включить двустороннюю аутентификацию в параметрах интеграции с компонентом Kaspersky Endpoint Detection and Response (KATA), Kaspersky Network Detection and Response (KATA) или KATA Sandbox и добавить сертификат клиента (криптоконтейнер с сертификатом и закрытым ключом).

Сертификаты для защиты соединения с сервером KATA/NDR/Sandbox предоставляет администратор Kaspersky Anti Targeted Attack Platform.

Для подключения к серверу KATA/NDR/Sandbox используется прокси-сервер, если использование прокси-сервера настроено в общих параметрах приложения Kaspersky Endpoint Security.

По умолчанию интеграция с компонентами решения Kaspersky Anti Targeted Attack Platform выключена. Вы можете включать и выключать интеграцию, а также настраивать следующие параметры интеграции с помощью командной строки, Web Console и Консоли администрирования:

• Настраивать общие параметры подключения к серверам KATA/NDR/Sandboх.
• Добавлять и удалять сертификаты серверов KATA/NDR/Sandboх.
• Настраивать двустороннюю аутентификацию при подключении к серверам KATA/NDR/Sandboх и добавлять сертификаты клиента.
• Настраивать параметры отправки событий.
• Включать и выключать отправку телеметрии (только при интеграции с Kaspersky Endpoint Detection and Response (KATA)).

  Если включена интеграция приложения Kaspersky Endpoint Security с решением Kaspersky Managed Detection and Response, исключения по процессам не применяются при отправке телеметрии.

Управление параметрами интеграции с Kaspersky Anti Targeted Attack Platform через Kaspersky Security Center Cloud Console не поддерживается.

В этом разделе Настройка EDR (KATA) / NDR (KATA) в Web Console Настройка EDR (KATA) / NDR (KATA) в Консоли администрирования Настройка EDR (KATA) / NDR (KATA) в командной строке Настройка интеграции с KATA Sandbox в Web Console Настройка интеграции с KATA Sandbox в командной строке

В начало