Integration mit Kaspersky Anti Targeted Attack Platform

Kaspersky Endpoint Security unterstützt die Kaspersky Anti Targeted Attack Platform, die darauf ausgelegt ist, die IT-Infrastruktur einer Organisation zu schützen und Bedrohungen wie Zero-Day-Angriffe, zielgerichtete Angriffe und Advanced Persistent Threats (im Folgenden auch "APT") rechtzeitig zu erkennen. Weitere Informationen zu der Lösung finden Sie in der Hilfe zu Kaspersky Anti Targeted Attack Platform.

Die Anwendung Kaspersky Endpoint Security kann mit den folgenden Komponenten integriert werden, die Teil der Kaspersky Anti Targeted Attack Platform-Lösung sind:

• Kaspersky Endpoint Detection and Response (KATA) bietet Schutz für Geräte im lokalen Netzwerk eines Unternehmens. Bei einer Integration mit Kaspersky Endpoint Detection and Response (KATA) kann Kaspersky Endpoint Security die folgenden Funktionen ausführen:
  • Daten über Ereignisse auf Geräten (Telemetriedaten) an den Server mit der Komponente "Central Node" übertragen, welcher die Interaktion mit Kaspersky Endpoint Detection and Response (KATA) gewährleistet (im Folgenden auch als KATA-Server bezeichnet). Kaspersky Endpoint Security sendet neben Überwachungsdaten zu Prozessen, offenen Netzwerkverbindungen und geänderten Dateien auch Daten zu den von der Anwendung erkannten Bedrohungen und zu den Verarbeitungsergebnissen dieser Bedrohungen an den KATA-Server.
  • Ausführen von Reaktionsmaßnahmen, um die Sicherheitsfunktionen mittels der Befehle sicherzustellen, die von Kaspersky Anti Targeted Attack Platform übertragen wurden.
• Kaspersky Network Detection and Response (KATA) bietet Schutz für das interne Unternehmensnetzwerk. Bei Integration mit Kaspersky Endpoint Detection and Response (KATA) kann Kaspersky Endpoint Security Daten zu Ereignissen auf Geräten (Telemetriedaten) an einen Server senden, der die Interaktion mit Kaspersky Endpoint Detection and Response (KATA) ermöglicht (im Folgenden auch als NDR-Server bezeichnet).
• KATA Sandbox analysiert und untersucht Objekte, um bösartige Aktivitäten und Anzeichen gezielter Angriffe auf die IT-Infrastruktur eines Unternehmens zu identifizieren. Analyse und Untersuchung erfolgen auf speziellen Servern, auf denen virtuelle Betriebssystem-Images bereitgestellt werden. Bei Integration mit Kaspersky Sandbox kann Kaspersky Endpoint Security Dateien zur Untersuchung an einen Server mit der Komponente "Central Node" senden, welcher die Interaktion mit Kaspersky Sandbox (im Folgenden auch als Sandbox-Server bezeichnet) gewährleistet.

Die Integration mit diesen Komponenten der Lösung Kaspersky Endpoint Detection and Response (KATA) wird durch die folgenden Komponenten der Anwendung Kaspersky Endpoint Security gewährleistet:

• Endpoint Detection and Response (KATA) (im Folgenden auch EDR (KATA) genannt)
• Network Detection and Response (KATA) (im Folgenden auch NDR (KATA) genannt)
• Sandbox

Sie können die Integration der Anwendung Kaspersky Endpoint Security entweder mit allen Komponenten der Kaspersky Anti Targeted Attack Platform-Lösung oder mit jeder Komponente separat konfigurieren.

Für die Integration der Komponenten von "Kaspersky Anti Targeted Attack Platform" ist die Aktivierung der Lösung "Kaspersky Anti Targeted Attack Platform" erforderlich (Details s. Hilfe zur Lösung). Die Komponenten der Anwendung "Kaspersky Endpoint Security", welche die Integration gewährleisten, müssen nicht aktiviert werden. Diese Funktionalität wird von den Hauptlizenzen von Kaspersky Endpoint Security abgedeckt.

Für eine vollständige Integration von Kaspersky Endpoint Security mit Kaspersky Anti Targeted Attack Platform muss die Komponente Verhaltensanalyse aktiviert sein. Bei deaktivierter Verhaltensanalyse werden keine erforderlichen Telemetriedaten übertragen (mit Ausnahme von Synchronisierungsanfragen und Daten zu erkannten Bedrohungen anderer Schutzkomponenten).

Wenn Sie in der Komponente "Verhaltensanalyse" den eBPF-Mechanismus zum Abrufen von Telemetriedaten des Systems verwenden (verfügbar auf 64-Bit-Betriebssystemen mit Kernelversion 5.3 und höher mit eBPF-Unterstützung), sind die Telemetriedaten vollständiger.

Die Komponenten "EDR (KATA)" und "NDR (KATA)" können Daten verwenden, die von den folgenden Komponenten stammen:

• Schutz vor bedrohlichen Dateien.
• Schutz vor Netzwerkbedrohungen.
• Schutz vor Web-Bedrohungen.
• Schutz vor Verschlüsselung.
• Programmkontrolle.
• Gerätekontrolle.
• Überwachung der System-Integrität.

Während der Integration mit der Kaspersky Anti Targeted Attack Platform-Lösung stellen Geräte, auf denen Kaspersky Endpoint Security ausgeführt wird, über das HTTPS-Protokoll verschlüsselte Verbindungen mit dem KATA/NDR/Sandbox-Server her. Um die Sicherheit der Verbindung zu gewährleisten, werden die folgenden vom KATA/NDR/Sandbox-Server ausgestellten Zertifikate verwendet:

• Zertifikat des KATA/NDR/Sandbox-Servers. Die Verbindung wird mit dem TLS-Zertifikat des Servers verschlüsselt. Sie können die Sicherheit der Verbindung erhöhen, indem Sie in Kaspersky Endpoint Security die Überprüfung des Serverzertifikats aktivieren. Dazu müssen Sie das Zertifikat des KATA/NDR/Sandbox-Servers hinzufügen, bevor Sie die Integration mit der Kaspersky Anti Targeted Attack Platform-Lösung aktivieren.
• Client-Zertifikat. Dieses Zertifikat dient dem zusätzlichen Schutz der Verbindung durch die Zwei-Wege-Authentifizierung (bei der Überprüfung der Geräte mit installiertem Kaspersky Endpoint Security durch den KATA/NDR/Sandbox-Server). Mehrere Geräte können dasselbe Client-Zertifikat verwenden. Standardmäßig überprüft der KATA/NDR/Sandbox-Server keine Client-Zertifikate, die Zwei-Wege-Authentifizierung kann jedoch auf der Seite von Kaspersky Anti Targeted Attack Platform aktiviert werden. In diesem Fall müssen Sie die Zwei-Wege-Authentifizierung in den Einstellungen für die Integration mit der Komponente Kaspersky Endpoint Detection and Response (KATA), Kaspersky Network Detection and Response (KATA) oder KATA Sandbox aktivieren und ein Client-Zertifikat hinzufügen (ein Crypto-Container mit einem Zertifikat und einem privaten Schlüssel).

Die Zertifikate für den Schutz der Verbindung zum KATA/NDR/Sandbox-Server werden vom Administrator der Kaspersky Anti Targeted Attack Platform bereitgestellt.

Wenn in den allgemeinen Anwendungseinstellungen von Kaspersky Endpoint Security die Verwendung eines Proxyservers konfiguriert ist, wird für die Verbindung zum KATA/NDR/Sandbox-Server ein Proxyserver verwendet.

Die Integration mit den Komponenten der Lösung Kaspersky Anti Targeted Attack Platform ist standardmäßig deaktiviert. Sie können die Integration aktivieren und deaktivieren und die Einstellungen für die Integration über die Befehlszeile, in der Web Console und mithilfe der Verwaltungskonsole konfigurieren: Bei der Integration mit einer beliebigen Komponente der Lösung "Kaspersky Anti Targeted Attack Platform" können Sie:

• Die allgemeinen Einstellungen für die Verbindung mit KATA/NDR/Sandbox-Servern konfigurieren.
• Zertifikate der KATA/NDR/Sandbox-Server hinzufügen oder entfernen.
• Die Zwei-Wege-Authentifizierung beim Herstellen einer Verbindung mit den KATA/NDR/Sandbox-Servern konfigurieren und Client-Zertifikate hinzufügen.
• Konfigurieren Sie die Einstellungen zum Senden von Ereignissen.

Bei der Integration mit Kaspersky Endpoint Detection and Response (KATA) können Sie außerdem Folgendes tun:

• Aktivieren und deaktivieren des Übertragens von Telemetriedaten.
• Aktivieren oder deaktivieren der Anwendung der Regeln der Ausführungsprävention der EDR (KATA)-Komponente.

In diesem Abschnitt EDR (KATA) / NDR (KATA) in Web Console konfigurieren EDR (KATA) / NDR (KATA) in der Verwaltungskonsole konfigurieren EDR (KATA) / NDR (KATA) über die Befehlszeile konfigurieren Integration mit KATA Sandbox in Web Console konfigurieren Integration mit KATA Sandbox über die Befehlszeile konfigurieren

Nach oben