Endpoint Detection and Response (KATA)
Kaspersky Endpoint Security для Windows поддерживает работу с компонентом Kaspersky Endpoint Detection and Response в составе решения Kaspersky Anti Targeted Attack Platform (EDR (KATA)). Kaspersky Anti Targeted Attack Platform – решение, предназначенное для своевременного обнаружения сложных угроз, таких как целевые атаки, сложные постоянные угрозы (англ. Advanced Persistent Threat, APT), атаки "нулевого дня" и другие. Kaspersky Anti Targeted Attack Platform включает в себя три функциональных блока:
Вы можете приобрести все функциональные блоки или приобрести функциональные блоки по отдельности. Подробнее о решении см. в справке Kaspersky Anti Targeted Attack Platform.
Приложение Kaspersky Endpoint Security устанавливается на отдельных компьютерах, входящих в IT-инфраструктуру организации, и осуществляет постоянное наблюдение за процессами, открытыми сетевыми соединениями и изменяемыми файлами. Данные о событиях на компьютере (телеметрия) отправляются на сервер Kaspersky Anti Targeted Attack Platform. Приложение Kaspersky Endpoint Security также передает на сервер Kaspersky Anti Targeted Attack Platform данные об угрозах, обнаруженных приложением, и данные о результатах обработки этих угроз.
Настройка интеграции с EDR (KATA) и NDR (KATA) выполняется в консоли Kaspersky Security Center. Дальнейшее управление встроенным агентом осуществляется в консоли Kaspersky Anti Targeted Attack Platform, включая запуск задач, управление объектами на карантине, просмотр отчетов и другие действия.
Endpoint Detection and Response Expert (on-premise)
Интеграция Kaspersky Endpoint Security с решением Kaspersky Endpoint Detection and Response Expert (on-premise) скоро станет доступна. Kaspersky Endpoint Detection and Response Expert (on-premise) – решение для кибербезопасности бизнеса, которое включает в себя приложения "Лаборатории Касперского", с помощью которых организация получает возможность защититься от большинства киберрисков и покрыть основные сценарии распространения угроз. Компоненты EDR Expert (on-premise) развертываются на единой платформе управления Open Single Management Platform (OSMP). Поддержка функциональности запланирована на конец 2025 года. Следите за нашими Release Notes, чтобы быть в курсе обновлений приложения и новых возможностей.
Параметры Endpoint Detection and Response Expert (on-premise)
Параметр |
Описание |
|---|---|
Подключение к серверам KATA / Подключение к серверам сбора телеметрии |
Настройте следующие параметры для подключения к серверу KATA:
Криптоконтейнер должен быть защищен паролем. Добавить криптоконтейнер с пустым паролем невозможно. |
Серверы КАТА / Серверы сбора телеметрии |
Параметры подключения к серверам Kaspersky Anti Targeted Attack Platform. Вы можете ввести IP-адрес (IPv4 или IPv6). Вы можете добавить несколько адресов сервера Central Node. Kaspersky Endpoint Security пытается установить соединение с сервером через первый IP-адрес. Если установить соединение не удалось, Kaspersky Endpoint Security пытается установить соединение через второй IP-адрес и так далее по списку. |
Отправлять запрос на синхронизацию на сервер KATA каждые (мин.) |
Период отправки запросов на синхронизацию с сервером. Во время синхронизации Kaspersky Endpoint Security передает данные об изменениях в параметрах приложения и задачах. |
Отправлять телеметрию в KATA / Отправлять телеметрию на серверы сбора телеметрии |
Функция позволяет полностью выключить отправку телеметрии на сервер KATA. Например, если вы используете Kaspersky Anti Targeted Attack Platform совместно с другим решением, которое также использует телеметрию, вы можете выключить отправку телеметрии для KATA (EDR). Это позволит оптимизировать нагрузку на серверы для этих решений. Если у вас развернуто решение Managed Detection and Response и KATA (EDR), вы можете использовать телеметрию MDR, а создавать задачи реагирования на угрозы в KATA (EDR). |
Отправлять телеметрию только с IOA (доступен только для Endpoint Detection and Response (KATA)) |
Функция позволяет оптимизировать отправку телеметрии на сервер и отправлять только телеметрию с IOA. Индикатор атак (Indicator of Attack, IOA) – правило, содержащее описание подозрительного поведения в системе, которое может являться признаком целевой атаки. Приложение сравнивает текущее поведение в системе с этими правилами и регистрирует события, характерные для целевой атаки. Приложение использует технологию потоковой проверки, которая позволяет отслеживать такие события в режиме реального времени. |
Максимальная задержка отправки событий (сек.) |
Приложение выполняет синхронизацию с сервером для передачи событий по истечению периода синхронизации. По умолчанию установлено значение 30 секунд. |
Включить троттлинг |
Функция позволяет оптимизировать нагрузку на сервер. Если флажок установлен, приложение будет ограничивать передачу событий. Если количество событий превышает установленные ограничения, Kaspersky Endpoint Security прекращает отправлять события. |
Максимальное количество событий в час |
Приложение анализирует поток данных телеметрии и ограничивает передачу событий, если поток передаваемых событий превышает установленное ограничение в час. Kaspersky Endpoint Security восстанавливает передачу событий по истечению часа. По умолчанию установлено значение 3000 событий в час. Если приложение установлено на сервер, поток данных телеметрии выше. Для серверов рекомендуется увеличить значение до 60 тыс. событий в час. |
Процент превышения лимита событий |
Приложение сортирует события по типу (например, события изменений в реестре) и ограничивает передачу событий, если соотношение однотипных событий к общему количеству событий превышает установленное ограничение в процентах. Kaspersky Endpoint Security восстанавливает отправку событий, когда соотношение других событий к общему количеству событий увеличится. По умолчанию установлено значение 15 %. |