與 Kaspersky Anti Targeted Attack Platform 整合
Kaspersky Endpoint Security與 Kaspersky Anti Targeted Attack Platform 解決方案相容,該解決方案旨在防護組織的 IT 基礎設施並及時偵測威脅,例如零時差攻擊、針對性攻擊和進階持續性威脅 (APT)。要了解更多資訊,請查看Kaspersky Anti Targeted Attack Platform 說明。
Kaspersky Endpoint Security 可以與 Kaspersky Anti Targeted Attack Platform 解決方案的以下元件整合:
- Kaspersky Endpoint Detection and Response (KATA) 可防護企業區域網路上的裝置。與 Kaspersky Endpoint Detection and Response (KATA) 整合時,Kaspersky Endpoint Security 可以:
- 將有關裝置事件的資訊(遙測)傳送到提供與 Kaspersky Endpoint Detection and Response (KATA) 互動的中央節點伺服器(以下也稱為 KATA 伺服器)。Kaspersky Endpoint Security 會向 KATA 伺服器傳送有關處理程序、開啟的網路連線和修改的檔案的監控資料,以及有關應用程式偵測到的威脅的資料和有關處理這些威脅的結果的資料。
- 在接收到 Kaspersky Anti Targeted Attack Platform 的指令時執行回應操作,以確保安全。
- Kaspersky Network Detection and Response (KATA) 可防護企業 LAN。與 Kaspersky Network Detection and Response (KATA) 整合時,Kaspersky Endpoint Security 可以將有關裝置事件的資訊(遙測)傳送到提供與 Kaspersky Network Detection and Response (KATA) 互動的伺服器(以下也稱為 NDR 伺服器)。
- KATA Sandbox 使用部署了作業系統虛擬映像的特殊伺服器來分析和掃描物件,以偵測惡意活動和針對企業 IT 基礎架構的有針對性攻擊的指標。與 KATA Sandbox 整合時,Kaspersky Endpoint Security 可以將要掃描的檔案傳送至提供與 KATA Sandbox 互動的中央節點伺服器(以下也稱為 Sandbox 伺服器)。
Kaspersky Endpoint Security 應用程式的以下元件提供與 Kaspersky Endpoint Detection and Response (KATA) 解決方案的這些元件的整合:
- Endpoint Detection and Response (KATA) 元件(以下也稱為 EDR (KATA))。
- Network Detection and Response (KATA) 元件(以下也稱為 NDR (KATA))。
- 沙盒元件。
您可以配置 Kaspersky Endpoint Security 與 Kaspersky Anti Targeted Attack Platform 解決方案的所有元件的整合,也可以單獨配置與每個元件的整合。
要與 Kaspersky Anti Targeted Attack Platform 元件整合,您需要啟動 Kaspersky Anti Targeted Attack Platform 解決方案(有關更多詳細資訊,請參閱解決方案說明)。無需啟動提供整合的 Kaspersky Endpoint Security 元件。Kaspersky Endpoint Security的主要產品授權包括此功能。
為了將 Kaspersky Endpoint Security 應用程式與 Kaspersky Anti Targeted Attack Platform 正確集成,必須啟用行為偵測元件。如果停用行為偵測,則不會傳輸必要的遙測資料(來自其他防護元件的同步請求和威脅偵測資料例外)。
如果行為偵測使用 eBPF 機制取得系統遙測資料(在內核版本 5.3 及更高版本,且具有 eBPF 支援的 64 位元作業系統上可用),則遙測資料將更加全面。
EDR (KATA) 和 NDR (KATA) 元件可以使用來自以下元件的資料:
在與 Kaspersky Anti Targeted Attack Platform 整合時,執行 Kaspersky Endpoint Security 的裝置使用 HTTPS 協定與 KATA/NDR/Sandbox 伺服器建立加密連線。為了確保連線的安全,使用 KATA/NDR/Sandbox 伺服器頒發的以下憑證:
- KATA/NDR/Sandbox 伺服器憑證。此連線使用伺服器的 TLS 憑證加密。您可以透過在 Kaspersky Endpoint Security 端驗證伺服器憑證來提高連線的安全性。為此,您需要在啟用與 Kaspersky Anti Targeted Attack Platform 整合之前新增 KATA/NDR/Sandbox 伺服器憑證。
- 用戶端憑證。此憑證用於透過雙向驗證提供額外的連線防護(即 KATA/NDR/Sandbox 伺服器使用 Kaspersky Endpoint Security 應用程式來檢查裝置)。同一個用戶端憑證可以被多台裝置使用。預設情況下,KATA/NDR/Sandbox 伺服器不會檢查用戶端憑證,但可以在 Kaspersky Anti Targeted Attack Platform 端啟用雙向身分驗證。在這種情況下,您需要在 Kaspersky Endpoint Detection and Response (KATA)、Kaspersky Network Detection and Response (KATA) 或 KATA Sandbox 整合設定中啟用雙向身分驗證,並新增用戶端憑證(帶有憑證和私密金鑰的加密容器)。
用於防護與 KATA/NDR/Sandbox 伺服器連線安全的憑證由 Kaspersky Anti Targeted Attack Platform 管理員提供。
如果在 Kaspersky Endpoint Security 的一般應用程式設定中配置了代理伺服器,則使用代理伺服器連線到 KATA/NDR/Sandbox 伺服器。
預設情況下,與 Kaspersky Anti Targeted Attack Platform 整合停用。您可以使用命令列、網頁主控台和管理主控台啟用、停用或設定整合:與 Kaspersky Anti Targeted Attack Platform 元件整合時,您可以:
- 配置一般 KATA/NDR/Sandbox 伺服器連線設定。
- 新增或移除 KATA/NDR/Sandbox 伺服器憑證。
- 連線到 KATA/NDR/Sandbox 伺服器時配置雙向身分驗證並新增用戶端憑證。
- 配置事件轉發。
與 Kaspersky Endpoint Detection and Response (KATA) 整合時,您還可以:
- 啟用或停用遙測資料傳送。
- 為物件執行防禦啟用或停用 EDR (KATA) 規則。
頁頂