Endpoint Detection and Response Expert (on-premise)

Endpoint Detection and Response Expert (on-premise)

Kaspersky Endpoint Security para Windows admite la integración con las soluciones de Kaspersky Endpoint Detection and Response Expert (on-premise). Kaspersky Endpoint Detection and Response Expert (local) es una solución de ciberseguridad para empresas que incluye las aplicaciones de Kaspersky que le permiten a una organización defenderse contra la mayoría de los tipos de riesgos de ciberseguridad y cubrir los escenarios de propagación de amenazas más importantes. Los componentes de EDR Expert (local) se implementan en Open Single Management Platform (OSMP). Esta plataforma ejecuta escenarios de múltiples plataformas en una única interfaz y permite integrar aplicaciones de Kaspersky con aplicaciones de terceros en un sistema integral de seguridad.

Uno de los elementos principales de la solución es SIEM. SIEM supervisa eventos provenientes de todos los componentes y los correlaciona entre sí mediante reglas que definen el proveedor y el usuario. EDR Expert (on-premise) analiza la telemetría y los registros recibidos de la infraestructura corporativa para detectar ataques de forma automática y permite investigar incidentes mediante un gráfico de investigación unificado que combina todos los eventos recopilados en EDR Expert (on-premise), incluidos los eventos de las aplicaciones de Kaspersky y de productos de seguridad de terceros.

Para responder ante incidentes avanzados, EDR Expert (on-premise) utiliza escenarios predefinidos y definidos por el usuario. También puede aplicar acciones de respuesta de aplicaciones de terceros y escenarios de respuesta que implican múltiples aplicaciones.

Endpoint Detection and Response (KATA)

Kaspersky Endpoint Security para Windows admite trabajar con el componente Kaspersky Endpoint Detection and Response como parte de la solución Kaspersky Anti Targeted Attack Platform (EDR (KATA)). Kaspersky Anti Targeted Attack Platform es una solución que facilita la detección temprana de ataques dirigidos, amenazas persistentes avanzadas (APT), ataques de día cero y otras amenazas sofisticadas. Kaspersky Anti Targeted Attack Platform incluye tres unidades funcionales:

Puede adquirir todas las unidades funcionales o las unidades funcionales individuales por separado. Para obtener más información sobre la solución, consulte la Ayuda de Kaspersky Anti Targeted Attack Platform.

La aplicación Kaspersky Endpoint Security se instala en equipos individuales en la infraestructura de TI corporativa y monitorea de forma continua los procesos, las conexiones de red abiertas y los archivos que se modifican. La información sobre los eventos del equipo (datos de telemetría) se envía al servidor de Kaspersky Anti Targeted Attack Platform. En este caso, Kaspersky Endpoint Security también envía información al servidor de Kaspersky Anti Targeted Attack Platform sobre las amenazas descubiertas por la aplicación, así como información sobre los resultados del procesamiento de estas amenazas.

La integración de EDR (KATA) y NDR (KATA) se configura en la consola de Kaspersky Security Center. Luego, el agente incorporado se administra mediante la consola de Kaspersky Anti Targeted Attack Platform, incluidas las tareas en ejecución, la administración de objetos en cuarentena, la visualización de informes y otras acciones.

Configuración de Endpoint Detection and Response Expert (local)

Parámetro

Descripción

Conexión a servidores de recopilación de telemetría

Un servidor de recopilación de telemetría es un servidor que forma parte de una solución SIEM y que recopila, normaliza, correlaciona, analiza y almacena información sobre los eventos que ocurren en el equipo.

Configure los siguientes parámetros para conectarse a los servidores de colección de telemetría (KUMA):

  • Tiempo de espera (s). Tiempo de espera máximo de respuesta del servidor. Cuando se agota el tiempo de espera, Kaspersky Endpoint Security intenta conectarse a otro servidor.
  • Certificado del servidor. Certificado TLS para establecer una conexión de confianza con el servidor. Puede obtener un certificado TLS en Open Single Management Platform (consulte las instrucciones en la Ayuda de Kaspersky Endpoint Detection and Response Expert [on-premise]).
  • Usar autenticación bidireccional. Autenticación bidireccional al establecer una conexión segura entre Kaspersky Endpoint Security y el servidor. Para usar la autenticación bidireccional, debe habilitarla en la configuración del servidor y, a continuación, obtener un criptocontenedor y establecer una contraseña para protegerlo. Un contenedor criptográfico es un archivo de almacenamiento PFX con un certificado y una clave privada. Puede obtener un criptocontenedor en Open Single Management Platform (consulte las instrucciones en la Ayuda de Kaspersky Endpoint Detection and Response Expert [on-premise]). Después de configurar el servidor, también debe habilitar la autenticación bidireccional en la configuración de Kaspersky Endpoint Security y cargar un criptocontenedor protegido con contraseña.

El contenedor criptográfico debe tener protección con contraseña. No es posible agregar un contenedor criptográfico con una contraseña en blanco.

Dirección y Puerto (servidores de colección de telemetría)

Configuración para conectarse a servidores de recopilación de telemetría. Puede ingresar una dirección IP (IPv4 o IPv6).

Puede agregar varias direcciones de servidores de colección de telemetría. Kaspersky Endpoint Security intenta conectarse al servidor en la primera dirección IP. Si no se pude establecer una conexión, Kaspersky Endpoint Security intenta conectarse a la segunda dirección IP de la lista y así sucesivamente.

Enviar telemetría a servidores de recolección de telemetría

Esta funcionalidad le permite desactivar por completo el envío de telemetría al servidor de KATA. Por ejemplo, si está usando Kaspersky Anti Targeted Attack Platform junto con otra solución que también usa telemetría, puede desactivar el envío de telemetría para KATA (EDR). Esto le permite optimizar la carga del servidor para estas soluciones. Si tiene implementada la solución Managed Detection and Response y KATA (EDR), puede usar la telemetría de MDR y crear tareas de Respuesta ante amenazas en KATA (EDR).

  • Enviar telemetría solo con IOA. Esto permite optimizar la telemetría y enviar solo telemetría con IOA. El indicador de ataque (IOA) es una regla que contiene una descripción de comportamiento sospechoso en el sistema que podría señalar un ataque dirigido. La aplicación compara el comportamiento regular en el sistema con estas reglas y registros de eventos que son indicativos de un ataque dirigido. La aplicación usa la tecnología de análisis de transmisión, que permite dar seguimiento a estos eventos en tiempo real.
  • Retraso máximo de transmisión de eventos (s). La aplicación se sincroniza con el servidor para enviar eventos después de que caduque el intervalo de sincronización. La configuración predeterminada es de 30 segundos.
  • Limitar la cantidad de paquetes de eventos por transmisión. La aplicación se sincroniza con el servidor cuando el búfer se llena de eventos. La configuración predeterminada es de 1024 eventos. Esta función permite deshabilitar el almacenamiento en búfer de eventos previo a la sincronización con el servidor.

Habilitar regulación de solicitudes

Esta función permite optimizar la carga en el servidor. Si la casilla de verificación está seleccionada, la aplicación restringe los eventos transmitidos. Si la cantidad de eventos supera los límites configurados, Kaspersky Endpoint Security deja de enviar eventos.

Configure la telemetría:

  • Cantidad máxima de eventos por hora. La aplicación analiza la secuencia de datos de telemetría y restringe el envío de eventos si la secuencia de eventos supera el límite configurado de eventos por hora. Kaspersky Endpoint Security reanuda el envío de eventos después de una hora. La configuración predeterminada es 3000 eventos por hora. Si la aplicación está instalada en un servidor, el flujo de datos de telemetría es mayor. Para los servidores, se recomienda aumentar el valor a 60 000 eventos por hora.
  • Porcentaje de exceso de límite de eventos. La aplicación ordena los eventos por tipo (por ejemplo, eventos de "cambios en el registro") y restringe la transmisión de eventos si la proporción de eventos del mismo tipo con respecto al número total de eventos supera el porcentaje límite configurado. Kaspersky Endpoint Security reanuda el envío de eventos cuando la proporción entre otros eventos y el número total de eventos vuelve a ser lo suficientemente grande. La configuración predeterminada es 15 %.

Enviar solicitud de sincronización al servidor cada (min)

Frecuencia de las solicitudes de sincronización enviadas al servidor. Durante la sincronización, Kaspersky Endpoint Security envía información sobre las tareas y la configuración de la aplicación modificada.

Conexión a servidores de respuesta

Un servidor de respuesta es un servidor que recibe y analiza datos, estudia el comportamiento de los objetos y publica los resultados de dichos estudios.

Configure los siguientes parámetros para la conexión a los servidores de respuesta:

  • Tiempo de espera (s). Tiempo de espera máximo de respuesta del servidor. Cuando se agota el tiempo de espera, Kaspersky Endpoint Security intenta conectarse a otro servidor.
  • Certificado del servidor. Certificado TLS para establecer una conexión de confianza con el servidor. Puede obtener un certificado TLS en Open Single Management Platform (consulte las instrucciones en la Ayuda de Kaspersky Endpoint Detection and Response Expert [on-premise]).
  • Usar autenticación bidireccional. Autenticación bidireccional al establecer una conexión segura entre Kaspersky Endpoint Security y el servidor. Para usar la autenticación bidireccional, debe habilitarla en la configuración del servidor y, a continuación, obtener un criptocontenedor y establecer una contraseña para protegerlo. Un contenedor criptográfico es un archivo de almacenamiento PFX con un certificado y una clave privada. Puede obtener un criptocontenedor en Open Single Management Platform (consulte las instrucciones en la Ayuda de Kaspersky Endpoint Detection and Response Expert [on-premise]). Después de configurar el servidor, también debe habilitar la autenticación bidireccional en la configuración de Kaspersky Endpoint Security y cargar un criptocontenedor protegido con contraseña.

Dirección y Puerto (servidores de respuesta)

Configuración para conectarse a servidores de respuesta. Puede ingresar una dirección IP (IPv4 o IPv6).

Puede agregar varias direcciones de servidores de colección de telemetría. Kaspersky Endpoint Security intenta conectarse al servidor en la primera dirección IP. Si no se pude establecer una conexión, Kaspersky Endpoint Security intenta conectarse a la segunda dirección IP de la lista y así sucesivamente.

Configuración de Endpoint Detection and Response (KATA)

Parámetro

Descripción

Enviar solicitud de sincronización al servidor cada (min)

Frecuencia de las solicitudes de sincronización enviadas al servidor. Durante la sincronización, Kaspersky Endpoint Security envía información sobre las tareas y la configuración de la aplicación modificada.

Conexión a servidores KATA

Configure los siguientes parámetros para la conexión al servidor de Central Node:

  • Tiempo de espera (s). Tiempo de espera máximo de respuesta del servidor de Central Node. Cuando se agota el tiempo de espera, Kaspersky Endpoint Security intenta conectarse a un servidor de Central Node diferente.
  • Certificado del servidor. Certificado TLS para establecer una conexión de confianza con el servidor de Central Node. Puede obtener un certificado TLS en la consola de Kaspersky Anti Targeted Attack Platform (consulte las instrucciones en la Ayuda de Kaspersky Anti Targeted Attack Platform).
  • Usar autenticación bidireccional. Autenticación bidireccional al establecer una conexión segura entre Kaspersky Endpoint Security y el servidor de Central Node. Para usar la autenticación bidireccional, debe habilitarla en la configuración del servidor de Central Node y, a continuación, obtener un contenedor criptográfico y establecer una contraseña para proteger el contenedor criptográfico. Un contenedor criptográfico es un archivo de almacenamiento PFX con un certificado y una clave privada. Puede obtener un contenedor criptográfico en la consola de Kaspersky Anti Targeted Attack Platform (consulte las instrucciones en la Ayuda de Kaspersky Anti Targeted Attack Platform). Después de configurar los ajustes de Central Node, también debe habilitar la autenticación bidireccional en los ajustes de Kaspersky Endpoint Security y cargar un contenedor criptográfico protegido con contraseña.

El contenedor criptográfico debe tener protección con contraseña. No es posible agregar un contenedor criptográfico con una contraseña en blanco.

Dirección y Puerto (servidores de KATA)

Configuración para conectarse a servidores de Kaspersky Anti Targeted Attack Platform. Ingrese la dirección IP del servidor de Central Node (IPv4 o IPv6) y el puerto para conectarse al servidor.

Puede agregar varias direcciones de servidor de Nodo central. Kaspersky Endpoint Security intenta conectarse al servidor en la primera dirección IP. Si no se pude establecer una conexión, Kaspersky Endpoint Security intenta conectarse a la segunda dirección IP de la lista y así sucesivamente.

Enviar telemetría a KATA

Esta funcionalidad le permite desactivar por completo el envío de telemetría al servidor de KATA. Por ejemplo, si está usando Kaspersky Anti Targeted Attack Platform junto con otra solución que también usa telemetría, puede desactivar el envío de telemetría para KATA (EDR). Esto le permite optimizar la carga del servidor para estas soluciones. Si tiene implementada la solución Managed Detection and Response y KATA (EDR), puede usar la telemetría de MDR y crear tareas de Respuesta ante amenazas en KATA (EDR).

Configure la telemetría:

  • Retraso máximo de transmisión de eventos (s). La aplicación se sincroniza con el servidor para enviar eventos después de que caduque el intervalo de sincronización. La configuración predeterminada es de 30 segundos.
  • Cantidad máxima de paquetes de eventos. La aplicación se sincroniza con el servidor cuando el búfer se llena de eventos. La configuración predeterminada es de 1024 eventos.

Habilitar regulación de solicitudes

Esta función permite optimizar la carga en el servidor. Si la casilla de verificación está seleccionada, la aplicación restringe los eventos transmitidos. Si la cantidad de eventos supera los límites configurados, Kaspersky Endpoint Security deja de enviar eventos.

Configure la telemetría:

  • Cantidad máxima de eventos por hora. La aplicación analiza la secuencia de datos de telemetría y restringe el envío de eventos si la secuencia de eventos supera el límite configurado de eventos por hora. Kaspersky Endpoint Security reanuda el envío de eventos después de una hora. La configuración predeterminada es 3000 eventos por hora. Si la aplicación está instalada en un servidor, el flujo de datos de telemetría es mayor. Para los servidores, se recomienda aumentar el valor a 60 000 eventos por hora.
  • Porcentaje de exceso de límite de eventos. La aplicación ordena los eventos por tipo (por ejemplo, eventos de "cambios en el registro") y restringe la transmisión de eventos si la proporción de eventos del mismo tipo con respecto al número total de eventos supera el porcentaje límite configurado. Kaspersky Endpoint Security reanuda el envío de eventos cuando la proporción entre otros eventos y el número total de eventos vuelve a ser lo suficientemente grande. La configuración predeterminada es 15 %.

Consulte también

Integración del agente incorporado con EDR / NDR (KATA)

Configuración de la telemetría de EDR (KATA)
Inicio de página