Endpoint Detection and Response Expert (on-premise)

Endpoint Detection and Response (KATA)

A Kaspersky Endpoint Security for Windows támogatja a Kaspersky Endpoint Detection and Response összetevővel való együttműködést a Kaspersky Anti Targeted Attack Platform (EDR (KATA)) megoldás részeként. A Kaspersky Anti Targeted Attack Platform egy megoldás, ami a kifinomult fenyegetések, például célzott támadások és speciális, állandó veszélyek (APT), valamint nagy kockázatú veszélyforrások időszerű észlelésére szolgál. A Kaspersky Anti Targeted Attack Platform három funkcionális egységet tartalmaz:

Az összes funkcionális egységet vagy az egyes funkcionális egységeket külön is megvásárolhatja. A megoldás részleteivel kapcsolatos információért lásd a Kaspersky Anti Targeted Attack Platform útmutatót.

A Kaspersky Endpoint Security a vállalati IT-infrastruktúra egyes számítógépeire van telepítve, és folyamatosan figyeli a folyamatokat, a nyitott hálózati kapcsolatokat és a módosítás alatt álló fájlokat. A számítógépen zajló eseményekkel kapcsolatos információk (telemetriai adatok) elküldésre kerülnek a Kaspersky Anti Targeted Attack Platform kiszolgálóra. Ebben az esetben a Kaspersky Endpoint Security információkat küld a Kaspersky Anti Targeted Attack Platform kiszolgálónak az alkalmazás által észlelt fenyegetésekről, valamint az ilyen fenyegetések feldolgozási eredményeiről is.

Az EDR (KATA) és NDR (KATA) integráció a Kaspersky Security Center konzolon van konfigurálva. A beépített ügynök ezután a Kaspersky Anti Targeted Attack Platform konzol segítségével kezelhető, beleértve a feladatok futtatását, a karanténba helyezett objektumok kezelését, a jelentések megtekintését és az egyéb műveleteket.

Endpoint Detection and Response Expert (on-premise)

A Kaspersky Endpoint Security integrációja a Kaspersky Endpoint Detection and Response Expert (on-premise) megoldással hamarosan elérhető lesz. Kaspersky Endpoint Detection and Response Expert (on-premise) egy vállalati kiberbiztonsági megoldás, amely olyan Kaspersky-alkalmazásokat tartalmaz, amelyek segítségével a vállalatok a legtöbb típusú kiberkockázattal szemben védekezhetnek, és a legfontosabb fenyegetés-terjesztési forgatókönyveket lefedhetik. Az EDR Expert (on-premise) összetevők az Open Single Management Platformon (OSMP) vannak telepítve. A funkció a tervek szerint 2025 végére lesz támogatva. Figyelje a kiadási megjegyzéseket, hogy értesüljön az alkalmazás frissítéseiről és új funkcióiról.

Endpoint Detection and Response Expert (on-premise)

Paraméter

Leírás

Connection to KATA servers / Connection to telemetry collection servers

Állítsa be a következőket a KATA-kiszolgálói kapcsolathoz:

  • Időtúllépés (mp). A Central Node kiszolgálójának maximális válaszideje. Amikor lejár az időkorlát, a Kaspersky Endpoint Security megpróbál csatlakozni egy másik Central Node-kiszolgálóhoz.
  • Kiszolgálói TLS-tanúsítvány hibája. TLS-tanúsítvány a Central Node-kiszolgálóval való megbízható kapcsolat létrehozásához. A TLS-tanúsítványt beszerezheti a Kaspersky Anti Targeted Attack Platform konzolon (az utasításokat a Kaspersky Anti Targeted Attack Platform Súgóban találja).
  • Kétirányú hitelesítés használata. Kétirányú hitelesítés a Kaspersky Endpoint Security és a Central Node-kiszolgáló közötti biztonságos kapcsolat létrehozásakor. A kétirányú hitelesítés használatához engedélyeznie kell a kétirányú hitelesítést a Central Node-kiszolgáló beállításaiban, majd be kell szereznie egy kriptotárolót, és be kell állítania egy jelszót a kriptotároló védelméhez. A kriptotároló egy PFX archívum tanúsítvánnyal és privát kulccsal. A kriptotárolót beszerezheti a Kaspersky Anti Targeted Attack Platform konzolon (az utasításokat a Kaspersky Anti Targeted Attack Platform Súgóban találja). A Central Node beállításainak konfigurálása után engedélyeznie kell a kétirányú hitelesítést is a Kaspersky Endpoint Security beállításaiban, és be kell töltenie egy jelszóval védett kriptotárolót.

A kriptotárolót jelszóval kell védeni. Üres jelszóval nem lehet kriptotárolót hozzáadni.

KATA-kiszolgálók / Telemetriai adatgyűjtő kiszolgálók

A Kaspersky Anti Targeted Attack Platform kiszolgálóinak csatlakozási beállításai. Megadhat egy IP-címet (IPv4 vagy IPv6).

Több Central Node-kiszolgálócímet is megadhat. A Kaspersky Endpoint Security megpróbál csatlakozni a kiszolgálóhoz az első IP-címen. Ha a kapcsolat nem jön létre, a Kaspersky Endpoint Security a listán szereplő második IP-címre próbál kapcsolódni, és így tovább.

Szinkronizálási kérés küldése a KATA kiszolgálójának ennyi percenként (perc)

A kiszolgálónak küldött szinkronizálási kérések gyakorisága. A szinkronizálás során a Kaspersky Endpoint Security információkat küld a módosított alkalmazásbeállításokról és feladatokról.

Send telemetry to KATA / Send telemetry to telemetry collection servers

Ezzel a funkcióval teljesen kikapcsolhatja a telemetriai adatok KATA-kiszolgálóra való küldését. Például ha a Kaspersky Anti Targeted Attack Platformot egy másik, szintén telemetriát használó megoldással együtt használja, kikapcsolhatja a KATA (EDR) telemetriáját. Ez lehetővé teszi a kiszolgálói terhelés optimalizálását ezekhez a megoldásokhoz. Ha telepítette a Managed Detection and Response megoldást és a KATA (EDR) megoldást, használhatja az MDR-telemetriát, és létrehozhat Fenyegetésekre adott válasz típusú feladatokat a KATA (EDR) megoldásban.

Send telemetry with IOA only

(csak az Endpoint Detection and Response (KATA) esetében érhető el)

Lehetővé teszi a telemetria optimalizálását és csak a telemetria küldését IOA segítségével. A támadásjelző (IOA) szabály a rendszeren belüli olyan gyanús viselkedések leírását tartalmazza, amelyek célzott támadásra utalhatnak. Az alkalmazás összehasonlítja a rendszerben zajló viselkedést ezekkel a szabályokkal, és naplózza a célzott támadásra utaló eseményeket. Az alkalmazás streameléses vizsgálati technológiát használ, amely lehetővé teszi az ilyen események valós idejű nyomon követését.

Maximális eseményátviteli idő (mp)

Az alkalmazás szinkronizál a kiszolgálóval, hogy a szinkronizálási intervallum lejárta után eseményeket küldjön. Az alapértelmezett beállítás 30 másodperc.

Szabályozás engedélyezése

Ez a funkció segíti a kiszolgáló terhelésének optimalizálását. Ha a jelölőnégyzet be van jelölve, az alkalmazás korlátozza a továbbított eseményeket. Ha az események száma meghaladja a beállított korlátokat, a Kaspersky Endpoint Security leállítja az események küldését.

Események maximális száma óránként

Az alkalmazás elemzi a telemetriai adatfolyamot, és korlátozza az események küldését, ha az eseményfolyam meghaladja a konfigurált események óránkénti korlátját. A Kaspersky Endpoint Security egy óra elteltével folytatja az események küldését. Az alapértelmezett beállítás óránként 3000 esemény. Ha az alkalmazás kiszolgálóra van telepítve, a telemetriai adatfolyam magasabb. Kiszolgálóknál ajánlott az értéket óránként 60 000 eseményre növelni.

Eseménykorlát túllépésének százalékos aránya

Az alkalmazás típusok szerint rendezi az eseményeket (például "Változások a beállításjegyzékben" események), és korlátozza az események továbbítását, ha az azonos típusú események aránya az események teljes számához viszonyítva meghaladja a beállított százalékos korlátot. A Kaspersky Endpoint Security akkor folytatja az események küldését, amikor a többi esemény aránya az események teljes számához képest ismét elég nagy lesz. Az alapértelmezett beállítás 15%.

Lásd még

A beépített ügynök integrálása az EDR / NDR (KATA) megoldással

Telemetria konfigurálása
Oldal tetejére