Endpoint Detection and Response Expert (on-premise)

Endpoint Detection and Response (KATA)

Kaspersky Endpoint Security para Windows permite trabajar con el componente Kaspersky Endpoint Detection and Response como parte de la solución Kaspersky Anti Targeted Attack Platform (EDR (KATA)). Kaspersky Anti Targeted Attack Platform es una solución diseñada para detener a tiempo amenazas sofisticadas, como ataques dirigidos, amenazas persistentes avanzadas (APT) y ataques de día cero, entre otras. Kaspersky Anti Targeted Attack Platform incluye tres unidades funcionales:

Puede comprar todas las unidades funcionales o unidades funcionales individuales por separado. Para obtener información acerca de la solución, consulte la Ayuda de Kaspersky Anti Targeted Attack Platform.

Kaspersky Endpoint Security se instala en equipos individuales en la infraestructura de TI corporativa y supervisa continuamente los procesos, las conexiones de red abiertas y los archivos que se modifican. La información sobre los eventos en el equipo (datos de telemetría) se envía al servidor de Kaspersky Anti Targeted Attack Platform. En este caso, Kaspersky Endpoint Security también envía información al servidor de Kaspersky Anti Targeted Attack Platform sobre las amenazas descubiertas por la aplicación, así como información sobre los resultados del procesamiento de estas amenazas.

La integración de EDR (KATA) y NDR (KATA) se configura en la consola de Kaspersky Security Center. A continuación, el agente integrado se administra mediante la consola de Kaspersky Anti Targeted Attack Platform, incluida la ejecución de tareas, la administración de objetos en cuarentena, la visualización de informes y otras acciones.

Endpoint Detection and Response Expert (on-premise)

La integración de Kaspersky Endpoint Security con la solución Kaspersky Endpoint Detection and Response Expert (on-premise) estará disponible pronto. Kaspersky Endpoint Detection and Response Expert (on-premise) es una solución de ciberseguridad empresarial que incluye aplicaciones de Kaspersky que permiten a una organización defenderse contra la mayoría de los tipos de ciberriesgos y cubrir los escenarios de propagación de amenazas más importantes. Los componentes de EDR Expert (on-premise) se implementan en la plataforma abierta de administración única (OSMP). Se prevé que esta funcionalidad sea compatible a finales de 2025. Mantenga un registro de nuestras Notas de la versión para estar al tanto de las actualizaciones de la aplicación y las nuevas funciones.

Configuración de Endpoint Detection and Response Expert (on-premise)

Parámetro

Descripción

Ajustes de conexión a servidores KATA / Configuración para conectarse a servidores de KUMA

Configure lo siguiente para la conexión del servidor KATA:

  • Tiempo de espera (seg). Tiempo de espera máximo de respuesta del servidor de Central Node. Cuando se agota el tiempo de espera, Kaspersky Endpoint Security intenta conectarse a un servidor de Central Node diferente.
  • Certificado TLS del servidor. Certificado TLS para establecer una conexión de confianza con el servidor de Central Node. Puede obtener un certificado TLS en la consola de Kaspersky Anti Targeted Attack Platform (consulte las instrucciones en la Ayuda de Kaspersky Anti Targeted Attack Platform).
  • Utilizar autenticación bidireccional. Autenticación bidireccional al establecer una conexión segura entre Kaspersky Endpoint Security y el servidor de Central Node. Para usar la autenticación bidireccional, debe activarla en la configuración del servidor de Central Node y, a continuación, obtener un contenedor criptográfico y establecer una contraseña para protegerlo. Un contenedor criptográfico es un archivo PFX con un certificado y una clave privada. Puede obtener un contenedor criptográfico en la consola de Kaspersky Anti Targeted Attack Platform (consulte las instrucciones en la Ayuda de Kaspersky Anti Targeted Attack Platform). Tras configurar Central Node, también debe activar la autenticación bidireccional en la configuración de Kaspersky Endpoint Security, y cargar un contenedor criptográfico protegido con contraseña.

El contenedor criptográfico debe estar protegido con contraseña. No es posible agregar un contenedor criptográfico con una contraseña en blanco.

Servidores KATA / Servidores de recopilación de telemetría

Configuración de conexión de los servidores de Kaspersky Anti Targeted Attack Platform. Puede introducir una dirección IP (IPv4 o IPv6).

Puede añadir varias direcciones de servidor del nodo central. Kaspersky Endpoint Security intenta conectarse al servidor en la primera dirección IP. Si no se puede establecer una conexión, Kaspersky Endpoint Security intenta conectarse a la segunda dirección IP de la lista, y así sucesivamente.

Enviar solicitud de sincronización al servidor de KATA cada (min.)

Frecuencia de las solicitudes de sincronización enviadas al servidor. Durante la sincronización, Kaspersky Endpoint Security envía información sobre la configuración y las tareas de la aplicación modificada.

Enviar telemetría a KATA/Enviar telemetría a KUMA

Esta funcionalidad le permite desactivar por completo el envío de telemetría al servidor KATA. Por ejemplo, si usa Kaspersky Anti Targeted Attack Platform junto con otra solución que también use telemetría, puede desactivar la telemetría para KATA (EDR). Esto le permite optimizar la carga del servidor para estas soluciones. Si tiene implementados la solución Managed Detection and Response y KATA (EDR), puede usar la telemetría de MDR y crear tareas de Threat Response en KATA (EDR).

Enviar telemetría solo con IOA

(disponible solo para Endpoint Detection and Response (KATA))

Permite optimizar la telemetría y enviar solo telemetría con IOA. Indicador de ataque (IOA) es una regla que contiene una descripción de comportamiento sospechoso en el sistema que puede indicar un ataque dirigido. La aplicación compara el comportamiento en curso en el sistema con estas reglas y registra los eventos que son indicativos de un ataque dirigido. La aplicación utiliza la tecnología de análisis de transmisión, que permite el seguimiento en tiempo real de dichos eventos.

Retraso máximo de transmisión de eventos (seg)

La aplicación se sincroniza con el servidor para enviar eventos después de que expire el intervalo de sincronización. El valor predeterminado es 30 segundos.

Activar la limitación

Esta función ayuda a optimizar la carga en el servidor. Si la casilla de verificación está seleccionada, la aplicación restringe los eventos transmitidos. Si la cantidad de eventos supera los límites configurados, Kaspersky Endpoint Security deja de enviar eventos.

Número máximo de eventos por hora

La aplicación analiza el flujo de datos de telemetría y restringe el envío de eventos si el flujo de eventos supera el límite configurado de eventos por hora. Kaspersky Endpoint Security reanuda el envío de eventos después de una hora. La configuración predeterminada es 3000 eventos por hora. Si la aplicación está instalada en un servidor, el flujo de datos de telemetría es mayor. Para los servidores, se recomienda aumentar el valor a 60 000 eventos por hora.

Porcentaje de exceso de límite del evento

La aplicación ordena los eventos por tipo (por ejemplo, eventos de "cambios en el registro") y restringe la transmisión de eventos si la relación de eventos del mismo tipo con respecto al número total de eventos supera el límite configurado en porcentaje. Kaspersky Endpoint Security reanuda el envío de eventos cuando la relación entre otros eventos y el número total de eventos vuelve a ser lo suficientemente grande. El ajuste predeterminado es 15 %.

Vea también

Integración del agente integrado con EDR / NDR (KATA)

Configuración de telemetría
Inicio de página