与 Kaspersky Anti Targeted Attack Platform 整合
Kaspersky Endpoint Security 与 Kaspersky Anti Targeted Attack Platform 解决方案兼容,旨在保护组织的 IT 基础设施并迅速检测威胁,例如零日攻击、针对性攻击和高级持续性威胁 (APT)。要了解更多信息,请查看“Kaspersky Anti Targeted Attack Platform 帮助”。
Kaspersky Endpoint Security 应用程序可以与 Kaspersky Anti Targeted Attack Platform 解决方案的以下组件集成:
- Kaspersky Endpoint Detection and Response (KATA) 可保护企业局域网上的设备。与 Kaspersky Endpoint Detection and Response (KATA) 集成时,Kaspersky Endpoint Security 可以:
- 将关于设备事件的信息(遥测数据)发送到提供 Kaspersky Endpoint Detection and Response (KATA) 交互功能的中央节点服务器(下文亦称“KATA 服务器”)。Kaspersky Endpoint Security 向 KATA 服务器发送有关进程、打开的网络连接和修改文件的监控数据,以及有关应用程序检测到的威胁的数据和处理这些威胁的结果数据。
- 在接收到 Kaspersky Anti Targeted Attack Platform 的命令时执行响应操作以确保安全。
- Kaspersky Network Detection and Response (KATA) 可保护企业局域网。与 Kaspersky Network Detection and Response (KATA) 集成时,Kaspersky Endpoint Security 可以将关于设备事件的信息(遥测数据)发送到提供 Kaspersky Network Detection and Response (KATA) 交互功能的服务器(下文亦称“NDR 服务器”)。
- KATA Sandbox 使用部署了操作系统虚拟镜像的特殊服务器来分析和扫描对象,以检测恶意活动以及针对企业 IT 基础设施的针对性攻击的指标。与 KATA Sandbox 集成时,Kaspersky Endpoint Security 可以将要扫描的文件发送到提供 KATA Sandbox 交互功能的中央节点服务器(下文亦称“Sandbox 服务器”)。
Kaspersky Endpoint Security 应用程序的以下组件可与 Kaspersky Endpoint Detection and Response (KATA) 解决方案的这些组件整合:
- Endpoint Detection and Response (KATA) 组件(下文亦称“EDR (KATA)”)。
- Network Detection and Response (KATA) 组件(下文亦称“NDR (KATA)”)。
- Sandbox 组件。
您可以配置 Kaspersky Endpoint Security 应用程序与 Kaspersky Anti Targeted Attack Platform 解决方案的所有组件的整合,也可以单独配置与每个组件的整合。
要与 Kaspersky Anti Targeted Attack Platform 组件集成,您需要激活 Kaspersky Anti Targeted Attack Platform 解决方案(有关更多详细信息,请参阅解决方案帮助)。无需激活提供整合的 Kaspersky Endpoint Security 组件。Kaspersky Endpoint Security的主授权许可包括此功能。
为了将 Kaspersky Endpoint Security 应用程序与 Kaspersky Anti Targeted Attack Platform 正确整合,必须启用行为检测组件。如果禁用了行为检测,则不会传输必要的遥测数据(来自其他保护组件的同步请求和威胁检测数据除外)。
如果行为检测使用 eBPF 机制获取系统遥测数据(在内核版本 5.3 及更高版本且支持 eBPF 的 64 位操作系统上可用),则遥测数据更加全面。
EDR (KATA) 和 NDR (KATA) 组件可以使用来自以下组件的数据:
与 Kaspersky Anti Targeted Attack Platform 解决方案集成时,运行 Kaspersky Endpoint Security 的设备使用 HTTPS 协议与 KATA/NDR/Sandbox 服务器建立加密连接。为确保安全连接,使用 KATA/NDR/Sandbox 服务器颁发的以下证书:
- KATA/NDR/Sandbox 服务器证书。使用服务器的 TLS 证书对连接进行加密。您可以通过在 Kaspersky Endpoint Security 端验证服务器证书来提高连接的安全性。为此,在启用与 Kaspersky Anti Targeted Attack Platform 解决方案的整合之前,您需要添加 KATA/NDR/Sandbox 服务器证书。
- 客户端证书。此证书用于通过双向身份验证(即 KATA/NDR/Sandbox 服务器使用 Kaspersky Endpoint Security 应用程序检查设备)提供额外的连接保护。多个设备可以使用同一客户端证书。默认情况下,KATA/NDR/Sandbox 服务器不检查客户端证书,但可以在 Kaspersky Anti Targeted Attack Platform 端启用双向身份验证。在这种情况下,您需要在 Kaspersky Endpoint Detection and Response (KATA)、Kaspersky Network Detection and Response (KATA) 或 KATA Sandbox 整合设置中启用双向身份验证并添加客户端证书(带证书和私钥的加密容器)。
用于保护与 KATA/NDR/Sandbox 服务器的连接的证书由 Kaspersky Anti Targeted Attack Platform 管理员提供。
如果在 Kaspersky Endpoint Security 的常规应用程序设置中配置了使用代理服务器,则使用代理服务器连接到 KATA/NDR/Sandbox 服务器。
默认情况下,与 Kaspersky Anti Targeted Attack Platform 解决方案组件整合被禁用。您可以使用命令行、Web Console 和管理控制台来启用、禁用或配置整合:与任何 Kaspersky Anti Targeted Attack Platform 组件整合时,您可以:
- 配置常规 KATA/NDR/Sandbox 服务器连接设置。
- 添加或删除 KATA/NDR/Sandbox 服务器证书。
- 配置连接 KATA/NDR/Sandbox 服务器时执行双向身份验证并添加客户端证书。
- 配置事件转发。
与 Kaspersky Endpoint Detection and Response (KATA) 集成时,您还可以:
- 启用或禁用发送遥测。
- 启用或禁用针对对象执行防护的 EDR (KATA) 规则。
页面顶部