Agora, o Kaspersky Endpoint Security versão 12.1 inclui um agente integrado para gerenciar o componente Kaspersky Endpoint Detection and Response como parte da solução Kaspersky Anti Targeted Attack Platform. Kaspersky Anti Targeted Attack Platform é uma solução projetada para a detecção oportuna de ameaças sofisticadas, como ataques direcionados, ameaças persistentes avançadas (APT) e ataques de dia zero, entre outros. A Kaspersky Anti Targeted Attack Platform inclui dois blocos funcionais: Kaspersky Anti Targeted Attack (doravante denominado “KATA”) e Kaspersky Endpoint Detection and Response (doravante denominado “EDR (KATA)”). É possível comprar o EDR (KATA) separadamente. Para obter informações detalhadas sobre a solução, consulte a Ajuda da Kaspersky Anti Targeted Attack Platform.
O Kaspersky Endpoint Security é instalado em computadores individuais na infraestrutura corporativa de TI e monitora continuamente os processos, as conexões de rede abertas e os arquivos em modificação. As informações sobre eventos no computador são enviadas para o servidor do Kaspersky Anti Targeted Attack Platform. Nesse caso, o Kaspersky Endpoint Security também envia informações ao servidor do Kaspersky Anti Targeted Attack Platform sobre ameaças descobertas pelo aplicativo, além das informações sobre o processamento dos resultados dessas ameaças.
A integração do EDR (KATA) é configurada no console do Kaspersky Security Center. Então, o agente integrado é gerenciado com o uso do console Kaspersky Anti Targeted Attack Platform, inclusive a execução de tarefas, gerenciamento de objetos em quarentena, exibição de relatórios e outras ações.
Configurações do Endpoint Detection and Response (KATA)
Parâmetro |
Descrição |
|---|---|
Configurações de conexão do servidores KATA |
Tempo limite. Tempo limite máximo de resposta do servidor do nó central. Quando o tempo limite se esgota, o Kaspersky Endpoint Security tenta estabelecer conexão com um servidor de nó central diferente. Certificado TLS do servidor. Certificado TLS para estabelecer uma conexão confiável com o servidor do nó central. É possível obter um certificado TLS no console da Kaspersky Anti Targeted Attack Platform (consulte as instruções na ajuda da Kaspersky Anti Targeted Attack Platform). Usar autenticação bidirecional. A autenticação bidirecional permite ativar uma verificação adicional do computador no nó central. Para ativar essa verificação, é necessário ativar a autenticação bidirecional nas configurações do nó central e do Kaspersky Endpoint Security. Para usar a autenticação bidirecional, também será necessário um contêiner criptográfico. Um contêiner criptográfico é um arquivo PFX com um certificado e uma chave privada. É possível obter um contêiner criptográfico no console da Kaspersky Anti Targeted Attack Platform (consulte as instruções na ajuda da Kaspersky Anti Targeted Attack Platform). O contêiner criptográfico deve ser protegido por senha. Não é possível adicionar um contêiner criptográfico sem senha. |
Servidores KATA |
Configurações de conexão do servidor do nó central. É possível inserir um endereço IP (IPv4 ou IPv6). |
Enviar solicitação de sincronização para o servidores KATA a cada (minutos) |
Frequência de solicitações de sincronização enviadas ao servidor do nó central. Durante a sincronização, o Kaspersky Endpoint Security envia informações sobre as configurações e tarefas modificadas do aplicativo. |
Enviar telemetria para KATA |
Essa funcionalidade permite desativar completamente o envio de telemetria para o servidor. Caso esteja usando o Kaspersky Anti Targeted Attack Platform juntamente com outra solução que também usa telemetria, é possível desativá-la para KATA (EDR). Isso permite otimizar a carga do servidor para essas soluções. Por exemplo, caso tenha a solução Managed Detection and Response e o KATA (EDR) implantados, será possível usar a telemetria MDR e criar tarefas de Resposta a Ameaças no KATA (EDR). |
Atraso máximo na transmissão de eventos (segundos) |
O aplicativo sincroniza com o servidor para enviar eventos após expirar o intervalo de sincronização. A configuração padrão é 30 segundos. |
Ativar a limitação de solicitações |
Esse recurso ajuda a otimizar a carga no computador. Caso a caixa de seleção esteja marcada, o aplicativo restringirá os eventos transmitidos. Caso o número de eventos exceda os limites configurados, o Kaspersky Endpoint Security interromperá o envio de eventos. |
Número máximo de eventos por hora |
O aplicativo analisa o fluxo de dados de telemetria e restringe o envio de eventos caso ele exceda o limite de eventos configurado por hora. O Kaspersky Endpoint Security retoma o envio de eventos após uma hora. A configuração padrão é de 3 mil eventos por hora. |
Porcentagem de excesso de limite de evento |
O aplicativo ordena os eventos por tipo (por exemplo, eventos “alterações no registro”) e restringe a transmissão de eventos caso a proporção de eventos do mesmo tipo para o número total de eventos exceda o limite configurado em porcentagem. O Kaspersky Endpoint Security retoma o envio de eventos quando a proporção de outros eventos para o número total de eventos torna-se volumosa o suficiente novamente. A configuração padrão é 15%. |