Endpoint Detection and Response Expert (on-premise)

Endpoint Detection and Response Expert (on-premise)

Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Detection and Response Expert (on-premise) çözümleriyle entegrasyonu destekler. Kaspersky Endpoint Detection and Response Expert (on-premise), bir kuruluşun çoğu siber risk türüne karşı savunma yapmasını ve en önemli tehdit yayılma senaryolarını kapsamasına olanak tanıyan Kaspersky uygulamalarını içeren bir kurumsal siber güvenlik çözümüdür. EDR Expert (on-premise) bileşenleri, Açık Tek Yönetim Platformu (OSMP) üzerinde dağıtılır. Bu platform, platformlar arası senaryoları tek bir arabirimde çalıştırır ve Kaspersky uygulamalarının üçüncü taraf uygulamalarla entegre edilerek kapsamlı bir güvenlik sistemine dönüştürülmesini sağlar.

Çözümün merkezi unsurlarından biri SIEM'dir. SIEM, tüm bileşenlerden gelen olayları izler ve satıcı ve kullanıcı tanımlı kuralları kullanarak bu olayları birbiriyle ilişkilendirir. EDR Expert (on-premise), saldırıları otomatik olarak tespit etmek için kurumsal altyapıdan alınan günlüklere ve telemetriye bakar ve Kaspersky uygulamalarından ve üçüncü taraf bilgi güvenliği ürünlerinden gelen olaylar da dahil olmak üzere EDR Expert'te (on-premise) toplanan tüm olayları birleştiren birleşik bir araştırma grafiği kullanarak olayların araştırılmasına olanak tanır.

Gelişmiş olaylara müdahale için EDR Expert (on-premise) önceden ayarlanmış ve kullanıcı tanımlı senaryolar kullanır. Üçüncü taraf uygulamalardan gelen yanıt eylemlerini ve birden fazla uygulamayı içeren yanıt senaryolarını da kullanabilirsiniz.

Endpoint Detection and Response (KATA)

Kaspersky Endpoint Security for Windows, Kaspersky Anti Targeted Attack Platform (EDR (KATA)) çözümünün bir parçası olarak Kaspersky Endpoint Detection and Response bileşeni ile çalışmayı destekliyor. Kaspersky Anti Targeted Attack Platform hedeflenen saldırılar, gelişmiş sürekli tehditler (APT), sıfır gün saldırıları ve diğer karmaşık tehditleri zamanında tespit etmek üzere tasarlanmış bir çözümdür. Kaspersky Anti Targeted Attack Platform üç işlevsel birim içerir:

Tüm işlevsel birimleri veya tek tek işlevsel birimleri ayrı ayrı satın alabilirsiniz. Çözüm hakkında ayrıntılı bilgi için lütfen Kaspersky Anti Targeted Attack Platform Yardım içeriğine bakın.

Kaspersky Endpoint Security, kurumsal BT altyapısındaki bilgisayarlara yüklenir ve süreçleri, açık ağ bağlantılarını ve değiştirilmekte olan dosyaları sürekli olarak izler. Bilgisayardaki olaylarla ilgili bilgiler (telemetri verileri) Kaspersky Anti Targeted Attack Platform sunucusuna gönderilir. Bu durumda, Kaspersky Endpoint Security ayrıca uygulama tarafından keşfedilen tehditler ve bu tehditlerin işlenmesinden elde edilen sonuçlar hakkında Kaspersky Anti Targeted Attack Platform sunucusuna bilgiler gönderir.

EDR (KATA) ve NDR (KATA) entegrasyonu Kaspersky Security Center konsolunda yapılandırılır. Yerleşik aracı daha sonra Kaspersky Anti Targeted Attack Platform konsolu kullanılarak yönetilir; buna görevleri çalıştırma, karantinaya alınan nesneleri yönetme, raporları görüntüleme ve diğer eylemler dahildir.

Endpoint Detection and Response Expert (on-premise) ayarları

Parametre

Açıklama

Telemetri toplama sunucularına bağlantı

Bir telemetri toplama sunucusu, SIEM çözümünün bir parçası olan ve bilgisayarda meydana gelen olaylarla ilgili bilgileri toplayan, normalleştiren, ilişkilendiren, analiz eden ve depolayan bir sunucudur.

Telemetri toplama sunucularına (KUMA) bağlanmak için aşağıdakileri yapılandırın:

  • Zaman aşımı (sn). Maksimum sunucu yanıt zaman aşımı. Zaman aşımı dolduğunda, Kaspersky Endpoint Security farklı bir sunucuya bağlanmaya çalışır.
  • Sunucu sertifikası. Sunucuya güvenilir bir bağlantı kurmak için TLS sertifikası. Open Single Management Platform'da bir TLS sertifikası alabilirsiniz (Kaspersky Endpoint Detection and Response Expert (on-premise) Yardım içeriğinde yer alan talimatlara bakın).
  • İki yönlü kimlik doğrulama kullan. Kaspersky Endpoint Security ile sunucu arasında güvenli bir bağlantı kurulurken iki yönlü kimlik doğrulama. İki yönlü kimlik doğrulamayı kullanmak için sunucu ayarlarında iki yönlü kimlik doğrulamayı etkinleştirmeniz, ardından bir kripto kabı almanız ve kripto kabını korumak için bir parola belirlemeniz gerekir. Bir kripto konteyner, sertifika ve özel anahtar içeren bir PFX arşividir. Open Single Management Platform'da bir kripto konteyneri alabilirsiniz (Kaspersky Endpoint Detection and Response Expert (on-premise) Yardım içeriğinde yer alan talimatlara bakın). Sunucu ayarlarını yapılandırdıktan sonra, Kaspersky Endpoint Security ayarlarında iki yönlü kimlik doğrulamayı da etkinleştirmeniz ve parola korumalı bir kripto kapsayıcı yüklemeniz gerekir.

Kripto konteyneri parola korumalı olmalıdır. Boş bir parola ile bir kripto konteyneri eklemek mümkün değildir.

Adres ve Port (telemetri toplama sunucuları)

Telemetri toplama sunucularına bağlanmak için ayarlar. Bir IP adresi (IPv4 veya IPv6) girebilirsiniz.

Birden fazla telemetri toplama sunucusu adresi ekleyebilirsiniz. Kaspersky Endpoint Security, ilk IP adresindeki sunucuya bağlanmaya çalışır. Bağlantı kurulamazsa Kaspersky Endpoint Security listedeki ikinci IP adresinden bağlanmayı dener ve bu şekilde devam eder.

Telemetri toplama sunucularına telemetri gönderme

Bu işlev KATA sunucusuna telemetri gönderimini tamamen kapatmanızı sağlar. Örneğin Kaspersky Anti Targeted Attack Platform'u telemetri de kullanan başka bir çözümle birlikte kullanıyorsanız, KATA (EDR) için telemetri gönderimini kapatabilirsiniz. Bu, bu çözümler için sunucu yükünü optimize etmenizi sağlar. Managed Detection and Response çözümüne ve KATA'ya (EDR) sahipseniz, MDR telemetrisini kullanabilir ve KATA'da (EDR) Tehdit Müdahalesi görevleri oluşturabilirsiniz.

  • Telemetriyi yalnızca IOA ile gönder. Bu, telemetriyi optimize etmeyi ve yalnızca IOA ile telemetri göndermeyi sağlar. Saldırı Göstergesi (IOA), hedefli bir saldırıyı işaret edebilecek sistemdeki şüpheli davranışların açıklamasını içeren bir kuraldır. Uygulama, sistemdeki devam eden davranışları bu kurallarla karşılaştırır ve hedefli bir saldırıyı gösteren olayları günlüğe kaydeder. Uygulama, bu tür olayların gerçek zamanlı olarak izlenmesini sağlayan akış tarama teknolojisini kullanır.
  • Maksimum olay iletim gecikmesi (sn). Uygulama, senkronizasyon aralığı sona erdikten sonra olayları göndermek için sunucu ile senkronize olur. Varsayılan değer ayarı 30 saniyedir.
  • İletim başına olay paketi sayısını sınırlayın. Tampon olaylarla dolduğunda uygulama sunucu ile senkronize olur. Varsayılan ayar 1024 olaydır. Bu fonksiyon, sunucu ile senkronizasyondan önce olayların tamponlanmasını devre dışı bırakmayı sağlar.

Talep daraltmayı etkinleştir

Bu özellik sunucu üzerindeki yükü optimize etmeye yardımcı olur. Onay kutusu işaretlendiğinde uygulama iletilen olayları kısıtlar. Olay sayısı yapılandırılan sınırları aşarsa Kaspersky Endpoint Security olay gönderimini durdurur.

Telemetri ayarlarını yapılandırın:

  • Saat başına maksimum olay sayısı. Uygulama telemetri veri akışını analiz eder ve olay akışı yapılandırılmış olay/saat sınırını aşarsa olayların gönderilmesini kısıtlar. Kaspersky Endpoint Security bir saat sonra olayları göndermeye devam eder. Varsayılan ayar saatte 3000 olaydır. Uygulama bir sunucuya kurulursa, telemetri veri akışı daha yüksek olur. Sunucular için bu değerin saatte 60.000 olaya çıkarılması önerilir.
  • Olay sınırı aşım yüzdesi. Uygulama, olayları türlerine göre sıralar (örneğin, "kayıt defterindeki değişiklikler" olayları) ve aynı türdeki olayların toplam olay sayısına oranı yüzde olarak yapılandırılan sınırı aşarsa olayların iletimini sınırlar. Kaspersky Endpoint Security, diğer olayların toplam olay sayısına oranı tekrar yeterince büyük olduğunda olayları göndermeye devam eder. Varsayılan ayar %15'tir.

Sunucuya her (dakika) senkronizasyon isteği gönder

Sunucusuna gönderilen senkronizasyon isteklerinin sıklığı. Senkronizasyon sırasında, Kaspersky Endpoint Security değiştirilen uygulama ayarları ve görevleri hakkında bilgi gönderir.

Yanıt sunucularına bağlantı

Bir yanıt sunucusu, verileri almak ve taramak, nesnelerin davranışlarını incelemek ve bu tür çalışmaların sonuçlarını yayınlamak için kullanılan bir sunucudur.

Yanıt sunucularının bağlantısı için şu yapılandırmaları yapın:

  • Zaman aşımı (sn). Maksimum sunucu yanıt zaman aşımı. Zaman aşımı dolduğunda, Kaspersky Endpoint Security farklı bir sunucuya bağlanmaya çalışır.
  • Sunucu sertifikası. Sunucuya güvenilir bir bağlantı kurmak için TLS sertifikası. Open Single Management Platform'da bir TLS sertifikası alabilirsiniz (Kaspersky Endpoint Detection and Response Expert (on-premise) Yardım içeriğinde yer alan talimatlara bakın).
  • İki yönlü kimlik doğrulama kullan. Kaspersky Endpoint Security ile sunucu arasında güvenli bir bağlantı kurulurken iki yönlü kimlik doğrulama. İki yönlü kimlik doğrulamayı kullanmak için sunucu ayarlarında iki yönlü kimlik doğrulamayı etkinleştirmeniz, ardından bir kripto kabı almanız ve kripto kabını korumak için bir parola belirlemeniz gerekir. Bir kripto konteyner, sertifika ve özel anahtar içeren bir PFX arşividir. Open Single Management Platform'da bir kripto konteyneri alabilirsiniz (Kaspersky Endpoint Detection and Response Expert (on-premise) Yardım içeriğinde yer alan talimatlara bakın). Sunucu ayarlarını yapılandırdıktan sonra, Kaspersky Endpoint Security ayarlarında iki yönlü kimlik doğrulamayı da etkinleştirmeniz ve parola korumalı bir kripto kapsayıcı yüklemeniz gerekir.

Adres ve Port (yanıt sunucuları)

Yanıt sunucularına bağlanmak için ayarlar. Bir IP adresi (IPv4 veya IPv6) girebilirsiniz.

Birden fazla telemetri toplama sunucusu adresi ekleyebilirsiniz. Kaspersky Endpoint Security, ilk IP adresindeki sunucuya bağlanmaya çalışır. Bağlantı kurulamazsa Kaspersky Endpoint Security listedeki ikinci IP adresinden bağlanmayı dener ve bu şekilde devam eder.

Endpoint Detection and Response (KATA) ayarları

Parametre

Açıklama

Sunucuya her (dakika) senkronizasyon isteği gönder

Sunucusuna gönderilen senkronizasyon isteklerinin sıklığı. Senkronizasyon sırasında, Kaspersky Endpoint Security değiştirilen uygulama ayarları ve görevleri hakkında bilgi gönderir.

KATA sunucularına bağlantı

Merkezi Düğüm sunucu bağlantısı için aşağıdakileri yapılandırın:

  • Zaman aşımı (sn). Maksimum Central Node sunucusu yanıt zaman aşımı. Zaman aşımı bittiğinde Kaspersky Endpoint Security, farklı bir Central Node sunucusuna bağlanmayı dener.
  • Sunucu sertifikası. Central Node sunucusu ile güvenilir bir bağlantı kurmak için TLS sertifikası. Kaspersky Anti Targeted Attack Platform konsolundan bir TLS sertifikası alabilirsiniz (Kaspersky Anti Targeted Attack Platform Yardım’daki talimatlara bakın).
  • İki yönlü kimlik doğrulama kullan. Kaspersky Endpoint Security ve Central Node sunucusu arasında güvenli bir bağlantı kurarken iki yönlü kimlik doğrulama. İki yönlü kimlik doğrulamayı kullanmak için Central Node sunucusu ayarlarında iki yönlü kimlik doğrulamayı etkinleştirmeniz, ardından bir kripto konteyneri almanız ve kripto konteynerini korumak için bir parola belirlemeniz gerekir. Bir kripto konteyner, sertifika ve özel anahtar içeren bir PFX arşividir. Kaspersky Anti Targeted Attack Platform konsolundan bir kripto konteyner alabilirsiniz (Kaspersky Anti Targeted Attack Platform Yardım'daki talimatlara bakın). Central Node ayarlarını yapılandırdıktan sonra, Kaspersky Endpoint Security ayarlarında iki yönlü kimlik doğrulamayı da etkinleştirmeniz ve parola korumalı bir kripto konteyneri yüklemeniz gerekir.

Kripto konteyneri parola korumalı olmalıdır. Boş bir parola ile bir kripto konteyneri eklemek mümkün değildir.

Adres ve Port (KATA sunucuları)

Kaspersky Anti Targeted Attack Platform sunucularına bağlanma ayarları. Sunucuya bağlanmak için Merkezi Düğüm sunucusu IP adresini (IPv4 veya IPv6) ve portunu girin.

Birden fazla Central Node sunucu adresi ekleyebilirsiniz. Kaspersky Endpoint Security, ilk IP adresindeki sunucuya bağlanmaya çalışır. Bağlantı kurulamazsa Kaspersky Endpoint Security listedeki ikinci IP adresinden bağlanmayı dener ve bu şekilde devam eder.

KATA'ya telemetri gönder

Bu işlev KATA sunucusuna telemetri gönderimini tamamen kapatmanızı sağlar. Örneğin Kaspersky Anti Targeted Attack Platform'u telemetri de kullanan başka bir çözümle birlikte kullanıyorsanız, KATA (EDR) için telemetri gönderimini kapatabilirsiniz. Bu, bu çözümler için sunucu yükünü optimize etmenizi sağlar. Managed Detection and Response çözümüne ve KATA'ya (EDR) sahipseniz, MDR telemetrisini kullanabilir ve KATA'da (EDR) Tehdit Müdahalesi görevleri oluşturabilirsiniz.

Telemetri ayarlarını yapılandırın:

  • Maksimum olay iletim gecikmesi (sn). Uygulama, senkronizasyon aralığı sona erdikten sonra olayları göndermek için sunucu ile senkronize olur. Varsayılan değer ayarı 30 saniyedir.
  • Paket başına maksimum olay sayısı. Tampon olaylarla dolduğunda uygulama sunucu ile senkronize olur. Varsayılan ayar 1024 olaydır.

Talep daraltmayı etkinleştir

Bu özellik sunucu üzerindeki yükü optimize etmeye yardımcı olur. Onay kutusu işaretlendiğinde uygulama iletilen olayları kısıtlar. Olay sayısı yapılandırılan sınırları aşarsa Kaspersky Endpoint Security olay gönderimini durdurur.

Telemetri ayarlarını yapılandırın:

  • Saat başına maksimum olay sayısı. Uygulama telemetri veri akışını analiz eder ve olay akışı yapılandırılmış olay/saat sınırını aşarsa olayların gönderilmesini kısıtlar. Kaspersky Endpoint Security bir saat sonra olayları göndermeye devam eder. Varsayılan ayar saatte 3000 olaydır. Uygulama bir sunucuya kurulursa, telemetri veri akışı daha yüksek olur. Sunucular için bu değerin saatte 60.000 olaya çıkarılması önerilir.
  • Olay sınırı aşım yüzdesi. Uygulama, olayları türlerine göre sıralar (örneğin, "kayıt defterindeki değişiklikler" olayları) ve aynı türdeki olayların toplam olay sayısına oranı yüzde olarak yapılandırılan sınırı aşarsa olayların iletimini sınırlar. Kaspersky Endpoint Security, diğer olayların toplam olay sayısına oranı tekrar yeterince büyük olduğunda olayları göndermeye devam eder. Varsayılan ayar %15'tir.

Ayrıca bkz.

Yerleşik aracının EDR/NDR (KATA) ile entegrasyonu

EDR (KATA) telemetrisini yapılandırma
Sayfanın başına git