Endpoint Detection and Response Expert (on-premise)

Endpoint Detection and Response (KATA)

Kaspersky Endpoint Security voor Windows ondersteund het werken met de Kaspersky Endpoint Detection and Response als onderdeel van de Kaspersky Anti Targeted Attack Platform (EDR (KATA))-oplossing. Kaspersky Anti Targeted Attack Platform is een oplossing voor de tijdige detectie van geavanceerde dreigingen, zoals doelgerichte aanvallen, geavanceerde aanhoudende dreigingen (Advanced Persistent Threats, APT), en zero-day-aanvallen en anderen. Kaspersky Anti Targeted Attack Platform omvat drie functionele eenheden:

U kunt alle functionele eenheden of afzonderlijke functionele eenheden afzonderlijk kopen. Voor informatie over de oplossing raadpleegt u de Help van Kaspersky Anti Targeted Attack Platform.

Het programma Kaspersky Endpoint Security wordt op individuele computers op de IT-infrastructuur van het bedrijf geïnstalleerd en bewaakt continu processen, open netwerkverbindingen en bestanden die worden gewijzigd. Informatie over gebeurtenissen op de computer (telemetriegegevens) wordt verzonden naar de Kaspersky Anti Targeted Attack Platform-server. In dit geval verzendt Kaspersky Endpoint Security ook informatie naar de Kaspersky Anti Targeted Attack Platform-server over dreigingen gevonden door het programma, evenals informatie over verwerkingsresultaten voor deze dreigingen.

De EDR (KATA) en NDR (KATA)-integratie wordt geconfigureerd op de Kaspersky Security Center-console. De ingebouwde agent wordt vervolgens beheerd met behulp van de Kaspersky Anti Targeted Attack Platform-console, inclusief het uitvoeren van taken, het beheren van in quarantaine geplaatste objecten, het bekijken van rapporten en andere acties.

Endpoint Detection and Response Expert (on-premise)

De integratie van Kaspersky Endpoint Security met de Kaspersky Endpoint Detection and Response Expert (on-premise) oplossing is binnenkort beschikbaar. Kaspersky Endpoint Detection and Response Expert (on premise) is een enterprise-cyberbeveiligingsoplossing die Kaspersky-programma's bevat waarmee een organisatie zich kan verdedigen tegen de meeste soorten cyberrisico's en die de belangrijkste scenario's voor de verspreiding van dreigingen dekt. Onderdelen van EDR Expert (on-premise) worden geïmplementeerd op het Open Single Management Platform (OSMP). Deze functionaliteit wordt volgens de plannign eind 2025 ondersteund. Houd onze Release-mededelingen bij om op de hoogte te blijven van programma-upgrades en nieuwe functies.

Instellingen Endpoint Detection and Response Expert (on-premise)

Parameter

Beschrijving

Settings for connecting to KATA servers / Instellingen voor verbinden met KUMA-servers

Configureer het volgende voor de KATA-serververbinding:

  • Timeout (sec). Maximale time-out voor de serverrespons van Central Node. Wanneer de time-out is verstreken, probeert Kaspersky Endpoint Security verbinding te maken met een andere Central Node-server.
  • Server TLS certificate. TLS-certificaat voor het tot stand brengen van een vertrouwde verbinding met de Central Node-server. U kunt een TLS-certificaat verkrijgen in de Kaspersky Anti Targeted Attack Platform-console (zie de instructies in de Help van Kaspersky Anti Targeted Attack Platform).
  • Use two-way authentication. Tweerichtingsverificatie bij het tot stand brengen van een beveiligde verbinding tussen Kaspersky Endpoint Security en de Central Node-server. Om tweerichtingsverificatie te gebruiken, moet u tweerichtingsverificatie inschakelen in de Central Node-server instellingen, vervolgens een crypto-container ophalen en een wachtwoord instellen om de crypto-container te beschermen. Een crypto-container is een PFX-archief met een certificaat en een privésleutel. U kunt een crypto-container verkrijgen in de Kaspersky Anti Targeted Attack Platform-console (zie de instructies in de Help van Kaspersky Anti Targeted Attack Platform). Na het configureren van de Central Node-instellingen, moet u ook tweerichtingsverificatie inschakelen in de instellingen van Kaspersky Endpoint Security en een met een wachtwoord beveiligde crypto-container laden.

De crypto-container moet met een wachtwoord worden beveiligd. Het is niet mogelijk om een crypto-container toe te voegen met een leeg wachtwoord.

KATA servers / Telemetrieverzamelingsservers

Verbindingsinstellingen voor Kaspersky Anti Targeted Attack Platform-servers. U kunt een IP-adres (IPv4 of IPv6) invoeren.

U kunt meerdere Central Node-serveradressen toevoegen. Kaspersky Endpoint Security probeert verbinding te maken met de server op het eerste IP-adres. Als er geen verbinding tot stand kan worden gebracht, probeert Kaspersky Endpoint Security verbinding te maken via het tweede IP-adres in de lijst, enzovoort.

Send sync request to KATA server every (min)

Frequentie van synchronisatieverzoeken die naar de server worden verzonden. Tijdens de synchronisatie verzendt Kaspersky Endpoint Security informatie over gewijzigde programma-instellingen en -taken.

Send telemetry to KATA / Send telemetry to KUMA

Met deze functionaliteit kunt u het verzenden van telemetrie naar de KATA-server volledig uitschakelen. Als u bijvoorbeeld Kaspersky Anti Targeted Attack Platform gebruikt in combinatie met een andere oplossing die ook telemetrie gebruikt, kunt u telemetrie voor KATA (EDR) uitschakelen. Hiermee kunt u de serverbelasting voor deze oplossingen optimaliseren. Als u de Managed Detection and Response-oplossing en KATA (EDR) hebt geïmplementeerd, kunt u MDR-telemetrie gebruiken en Threat Response-taken maken in KATA (EDR).

Verstuur telemetrie alleen met IOA

(alleen beschikbaar voor Endpoint Detection and Response (KATA))

Dit maakt het mogelijk om telemetrie te optimaliseren en alleen telemetrie verzenden met IOA. Indicator van aanval (IOA) is een regel die een beschrijving bevat van verdacht gedrag in het systeem dat kan wijzen op een gerichte aanval. Het programma vergelijkt het gedrag in het systeem met deze regels en registreert gebeurtenissen die wijzen op een gerichte aanval. Het programma gebruikt de streaming scantechnologie die het mogelijk maakt om dergelijke gebeurtenissen in realtime bij te houden.

Maximum events transmission delay (sec)

Het programma synchroniseert met de server om gebeurtenissen te verzenden nadat het synchronisatie-interval is verlopen. De standaardinstelling is 30 seconden.

Enable throttling

Dit helpt de belasting op de server te optimaliseren. Als het selectievakje is ingeschakeld, beperkt het programma de verzonden gebeurtenissen. Als het aantal gebeurtenissen de ingestelde limieten overschrijdt, stopt Kaspersky Endpoint Security met het verzenden van gebeurtenissen.

Maximum number of events per hour

Het programma analyseert de telemetriegegevensstroom en beperkt het verzenden van gebeurtenissen als de gebeurtenisstroom de geconfigureerde limiet voor gebeurtenissen per uur overschrijdt. Kaspersky Endpoint Security hervat het verzenden van gebeurtenissen na een uur. De standaardinstelling is 3000 gebeurtenissen per uur. Als het programma op een server is geïnstalleerd, is de telemetrie gegevensstroom hoger. Voor servers wordt aanbevolen om de waarde te verhogen tot 60 000 gebeurtenissen per uur.

Percentage of event limit excess

Het programma sorteert gebeurtenissen op type (bijvoorbeeld 'wijzigingen in het register'-gebeurtenissen) en beperkt de overdracht van gebeurtenissen als de verhouding tussen gebeurtenissen van hetzelfde type en het totale aantal gebeurtenissen de geconfigureerde limiet overschrijdt. Kaspersky Endpoint Security hervat het verzenden van gebeurtenissen wanneer de verhouding tussen andere gebeurtenissen en het totale aantal gebeurtenissen opnieuw groot genoeg is. De standaardinstelling is 15 %.

Raadpleeg ook

Integratie van de ingebouwde agent met EDR / NDR (KATA)

Telemetrie configureren
Naar boven