O Kaspersky Endpoint Security for Windows é compatível com o trabalho do componente Kaspersky Endpoint Detection and Response como parte da solução Kaspersky Anti Targeted Attack Platform (EDR (KATA)). Kaspersky Anti Targeted Attack Platform é uma solução projetada para a detecção oportuna de ameaças sofisticadas, como ataques direcionados, ameaças persistentes avançadas (APT) e ataques de dia zero, entre outros. A Kaspersky Anti Targeted Attack Platform inclui três unidades funcionais:
É possível adquirir todas as unidades funcionais ou unidades individuais separadamente. Para obter informações detalhadas sobre a solução, consulte a Ajuda da Kaspersky Anti Targeted Attack Platform.
O Kaspersky Endpoint Security é instalado em computadores individuais na infraestrutura corporativa de TI e monitora continuamente os processos, as conexões de rede abertas e os arquivos em modificação. As informações sobre eventos no computador são enviadas para o servidor do Kaspersky Anti Targeted Attack Platform. Nesse caso, o Kaspersky Endpoint Security também envia informações ao servidor do Kaspersky Anti Targeted Attack Platform sobre ameaças descobertas pelo aplicativo, além das informações sobre o processamento dos resultados dessas ameaças.
A integração do EDR (KATA) e NDR (KATA) é configurada no console do Kaspersky Security Center. Então, o agente integrado é gerenciado com o uso do console Kaspersky Anti Targeted Attack Platform, inclusive a execução de tarefas, gerenciamento de objetos em quarentena, exibição de relatórios e outras ações.
Parâmetros do Network Detection and Response (KATA)
Parâmetro |
Descrição |
|---|---|
Configurações de conexão do servidor |
Tempo limite (seg). Tempo limite máximo de resposta do servidor do Central Node. Quando o tempo limite se esgota, o Kaspersky Endpoint Security tenta estabelecer conexão com um servidor de Central Node diferente. Certificado TLS do servidor. Certificado TLS para estabelecer uma conexão confiável com o servidor do Central Node. É possível obter um certificado TLS no console da Kaspersky Anti Targeted Attack Platform (consulte as instruções na ajuda da Kaspersky Anti Targeted Attack Platform). Usar autenticação bidirecional. Autenticação bidirecional ao estabelecer uma conexão segura entre o Kaspersky Endpoint Security e o servidor do Central Node. Para usar a autenticação bidirecional, é necessário ativá-la nas configurações do servidor do Central Node, obter um contêiner de criptografia e definir uma senha para proteger o contêiner criptográfico. Um contêiner criptográfico é um arquivo PFX com um certificado e uma chave privada. É possível obter um contêiner criptográfico no console da Kaspersky Anti Targeted Attack Platform (consulte as instruções na ajuda da Kaspersky Anti Targeted Attack Platform). Depois de definir as configurações do Central Node, é necessário também habilitar a autenticação bidirecional nas configurações do Kaspersky Endpoint Security e carregar um contêiner criptográfico protegido por senha. O contêiner criptográfico deve ser protegido por senha. Não é possível adicionar um contêiner criptográfico sem senha. |
Endereço e Porta |
Configurações de conexão dos servidores da Kaspersky Anti Targeted Attack Platform. É possível inserir um endereço IP (IPv4 ou IPv6). É possível adicionar vários endereços de servidor do nó central. O Kaspersky Endpoint Security tenta se conectar ao servidor no primeiro endereço IP. Caso a conexão não possa ser estabelecida, o Kaspersky Endpoint Security tenta se conectar ao segundo endereço IP na lista e assim sucessivamente. |
Enviar solicitação de sincronização para o servidor NDR a cada (min.) |
Frequência de solicitações de sincronização enviadas ao servidor. Durante a sincronização, o Kaspersky Endpoint Security envia informações sobre as configurações e tarefas modificadas do aplicativo. |
Atraso máximo na transmissão de eventos (segundos) |
O aplicativo sincroniza com o servidor para enviar eventos após expirar o intervalo de sincronização. A configuração padrão é 30 segundos. |
Ativar a limitação de solicitações |
Esse recurso ajuda a otimizar a carga no computador. Caso a caixa de seleção esteja marcada, o aplicativo restringirá os eventos transmitidos. Caso o número de eventos exceda os limites configurados, o Kaspersky Endpoint Security interromperá o envio de eventos. |
Número máximo de eventos por hora |
O aplicativo analisa o fluxo de dados de telemetria e restringe o envio de eventos caso ele exceda o limite de eventos configurado por hora. O Kaspersky Endpoint Security retoma o envio de eventos após uma hora. A configuração padrão é de 3 mil eventos por hora. Caso o aplicativo esteja instalado em um servidor, o fluxo de dados de telemetria será maior. Para servidores, é recomendável aumentar o valor para 60 mil eventos por hora. |
Porcentagem de excesso de limite de evento |
O aplicativo ordena os eventos por tipo (por exemplo, eventos “alterações no registro”) e restringe a transmissão de eventos caso a proporção de eventos do mesmo tipo para o número total de eventos exceda o limite configurado em porcentagem. O Kaspersky Endpoint Security retoma o envio de eventos quando a proporção de outros eventos para o número total de eventos torna-se volumosa o suficiente novamente. A configuração padrão é 15%. |