Endpoint Detection and Response (KATA)
Aplikace Kaspersky Endpoint Security pro systém Windows podporuje fungování se součásti Kaspersky Endpoint Detection and Response jako součásti řešení Kaspersky Anti Targeted Attack Platform (EDR (KATA)). Platforma Kaspersky Anti Targeted Attack Platform je řešení navržené pro včasnou detekci sofistikovaných hrozeb, jako jsou cílené útoky, pokročilé perzistentní hrozby (APT), útoky nultého dne a další. Kaspersky Anti Targeted Attack Platform obsahuje tři funkční jednotky:
Všechny funkční jednotky nebo jednotlivé funkční jednotky můžete zakoupit samostatně. Podrobnosti o tomto řešení najdete v nápovědě k platformě Kaspersky Anti Targeted Attack Platform.
Aplikace Kaspersky Endpoint Security se instaluje na jednotlivé počítače v podnikové IT infrastruktuře a nepřetržitě sleduje procesy, otevřená síťová připojení a upravované soubory. Informace o událostech v počítači (telemetrická data) jsou odesílány na server Kaspersky Anti Targeted Attack Platform. V tomto případě aplikace Kaspersky Endpoint Security také odešle na server Kaspersky Anti Targeted Attack Platform informace o hrozbách objevených aplikací a také informace o výsledcích zpracování těchto hrozeb.
Integrace EDR (KATA) a NDR (KATA) se konfiguruje v konzole aplikace Kaspersky Security Center. Integrovaný agent je pak spravován pomocí konzoly Kaspersky Anti Targeted Attack Platform, včetně spouštění úloh, správy objektů v karanténě, prohlížení zpráv a dalších akcí.
Endpoint Detection and Response Expert (on-premise)
Integrace aplikace Kaspersky Endpoint Security s řešením Kaspersky Endpoint Detection and Response Expert (on-premise) bude brzy k dispozici. Kaspersky Endpoint Detection and Response Expert (on-premise) je podnikové řešení kybernetické bezpečnosti zahrnující aplikace společnosti Kaspersky, které umožňují organizaci bránit se před většinou typů kybernetických rizik a pokrývají nejdůležitější scénáře šíření hrozeb. Součásti EDR Expert (on-premise) jsou nasazeny na otevřené platformě OSMP (Open Single Management Platform). Podpora této funkce je plánována do konce roku 2025. Sledujte naše poznámky k verzi, abyste měli povědomí o upgradech aplikací a nových funkcích.
Nastavení řešení Endpoint Detection and Response Expert (on-premise)
Parametr |
Popis |
|---|---|
Connection to KATA servers / Connection to telemetry collection servers |
Nakonfigurujte následující připojení k serveru KATA:
Kryptokontejner musí být chráněn heslem. Není možné přidat kryptokontejner s prázdným heslem. |
KATA servers / servery pro shromažďování telemetrie |
Nastavení připojení k serverům Kaspersky Anti Targeted Attack Platform. Můžete zadat IP adresu (IPv4 nebo IPv6). Můžete přidat více adres serveru centrálního uzlu. Kaspersky Endpoint Security se pokusí o připojení k serveru na první IP adrese. Pokud připojení nelze navázat, aplikace Kaspersky Endpoint Security se pokusí připojit k druhé IP adrese v seznamu a tak dále. |
Send sync request to KATA server every (min) |
Frekvence požadavků na synchronizaci odesílaných na server. Během synchronizace Kaspersky Endpoint Security odesílá informace o změněných nastaveních aplikací a úlohách. |
Send telemetry to KATA / Send telemetry to telemetry collection servers |
Tato funkce umožňuje zcela vypnout odesílání telemetrických údajů na server KATA. Pokud například používáte Kaspersky Anti Targeted Attack Platform spolu s jiným řešením, které také využívá telemetrii, můžete telemetrii pro KATA (EDR) vypnout. To vám umožní optimalizovat zatížení serveru pro tato řešení. Pokud máte nasazené řešení Managed Detection and Response a součást KATA (EDR), můžete použít telemetrii MDR a vytvářet úlohy Reakce na hrozby v KATA (EDR). |
Send telemetry with IOA only (k dispozici pouze pro Endpoint Detection and Response (KATA)) |
To umožňuje optimalizaci telemetrie a odesílání telemetrie pouze pomocí IOA. Indikátor útoku (IOA) je pravidlo, které obsahuje popis podezřelého chování v systému, které může naznačovat cílený útok. Aplikace porovnává průběžné chování v systému s těmito pravidly a zaprotokoluje události, které ukazují na cílený útok. Aplikace používá technologii kontrola streamování, která umožňuje sledování těchto událostí v reálném čase. |
Maximum events transmission delay (sec) |
Aplikace se synchronizuje se serverem a odesílá události po uplynutí intervalu synchronizace. Výchozí hodnota je 30 sekund. |
Enable throttling |
Tato funkce pomáhá optimalizovat zátěž serveru. Pokud je políčko zaškrtnuto, aplikace omezí přenášené události. Pokud počet událostí překročí nakonfigurované limity, aplikace Kaspersky Endpoint Security přestane odesílat události. |
Maximum number of events per hour |
Aplikace analyzuje tok telemetrických dat a omezí odesílání událostí, pokud tok událostí překročí nakonfigurovaný limit událostí za hodinu. Kaspersky Endpoint Security obnoví odesílání událostí po hodině. Výchozí nastavení je 3000 událostí za hodinu. Pokud je aplikace nainstalována na serveru, je datový tok telemetrie vyšší. U serverů se doporučuje zvýšit hodnotu na 60 000 událostí za hodinu. |
Percentage of event limit excess |
Aplikace třídí události podle typu (například události „změny registru“) a omezuje přenos událostí, pokud poměr událostí stejného typu k celkovému počtu událostí překročí nakonfigurovaný limit v procentech. Kaspersky Endpoint Security obnoví odesílání událostí, když poměr ostatních událostí k celkovému počtu událostí bude opět dostatečně velký. Výchozí nastavení je 15 %. |