Endpoint Detection and Response Expert (on-premise)

Endpoint Detection and Response Expert (on-premise)

O Kaspersky Endpoint Security for Windows é compatível com a integração com as soluções Kaspersky Endpoint Detection and Response Expert (on-premise). Kaspersky Endpoint Detection and Response Expert (on-premise) é uma solução de segurança virtual empresarial que inclui aplicativos da Kaspersky que viabilizam para uma organização a defesa contra a maioria dos tipos de riscos virtuais, além de englobar os cenários mais importantes de propagação de ameaças. Os componentes EDR Expert (on-premise) são implementados na Open Single Management Platform (OSMP). Esta plataforma executa cenários multiplataforma em uma única interface e permite a integração de aplicativos da Kaspersky com aplicativos de terceiros em um sistema de segurança abrangente.

Um dos elementos centrais da solução é o componente SIEM. O componente SIEM rastreia eventos provenientes de todos os componentes e correlaciona esses eventos entre si com o uso de regras definidas pelo fornecedor e pelo usuário. O EDR Expert (on-premise) analisa os logs e a telemetria recebidos da infraestrutura corporativa para detectar automaticamente os ataques e permitir a investigação de incidentes com o uso de um gráfico de investigação unificado que combina todos os eventos coletados no EDR Expert (on-premise), inclusive os eventos de aplicativos da Kaspersky e de produtos de segurança da informação de terceiros.

Para responder a incidentes avançados, o EDR Expert (on-premise) usa cenários predefinidos e definidos pelo usuário. Também é possível usar ações de resposta de aplicativos de terceiros e cenários de resposta que envolvem vários aplicativos.

Endpoint Detection and Response (KATA)

O Kaspersky Endpoint Security for Windows é compatível com o trabalho do componente Kaspersky Endpoint Detection and Response como parte da solução Kaspersky Anti Targeted Attack Platform (EDR (KATA)). Kaspersky Anti Targeted Attack Platform é uma solução projetada para a detecção oportuna de ameaças sofisticadas, como ataques direcionados, ameaças persistentes avançadas (APT) e ataques de dia zero, entre outros. A Kaspersky Anti Targeted Attack Platform inclui três unidades funcionais:

É possível adquirir todas as unidades funcionais ou unidades individuais separadamente. Para obter informações detalhadas sobre a solução, consulte a Ajuda da Kaspersky Anti Targeted Attack Platform.

O Kaspersky Endpoint Security é instalado em computadores individuais na infraestrutura corporativa de TI e monitora continuamente os processos, as conexões de rede abertas e os arquivos em modificação. As informações sobre eventos no computador são enviadas para o servidor do Kaspersky Anti Targeted Attack Platform. Nesse caso, o Kaspersky Endpoint Security também envia informações ao servidor do Kaspersky Anti Targeted Attack Platform sobre ameaças descobertas pelo aplicativo, além das informações sobre o processamento dos resultados dessas ameaças.

A integração do EDR (KATA) e NDR (KATA) é configurada no console do Kaspersky Security Center. Então, o agente integrado é gerenciado com o uso do console Kaspersky Anti Targeted Attack Platform, inclusive a execução de tarefas, gerenciamento de objetos em quarentena, exibição de relatórios e outras ações.

Configurações do Endpoint Detection and Response Expert (on-premise)

Parâmetro

Descrição

Conexão com servidores de coleta de telemetria

Um servidor de coleta de telemetria é um servidor que faz parte de uma solução SIEM que coleta, normaliza, correlaciona, analisa e armazena informações sobre eventos que ocorrem no computador.

Configure os seguintes itens para estabelecer conexão com os servidores de coleta de telemetria (KUMA):

  • Tempo limite (s). Tempo limite máximo de resposta do servidor. Quando o tempo limite se esgotar, o Kaspersky Endpoint Security tentará estabelecer conexão com um servidor diferente.
  • Certificado do servidor. Certificado TLS para estabelecer uma conexão confiável com o servidor. É possível obter um certificado TLS na Open Single Management Platform (consulte as instruções na ajuda do Kaspersky Endpoint Detection and Response Expert (on-premise)).
  • Usar autenticação bidirecional. Autenticação bidirecional ao estabelecer uma conexão segura entre o Kaspersky Endpoint Security e o servidor. Para usar a autenticação bidirecional, é necessário ativá-la nas configurações do servidor, obter um contêiner de criptografia e definir uma senha para protegê-lo. Um contêiner criptográfico é um arquivo PFX com um certificado e uma chave privada. É possível obter um contêiner de criptografia na Open Single Management Platform (consulte as instruções na ajuda do Kaspersky Endpoint Detection and Response Expert (on-premise)). Depois de definir as configurações do servidor, é necessário também ativar a autenticação bidirecional nas configurações do Kaspersky Endpoint Security e carregar um contêiner de criptografia protegido por senha.

O contêiner criptográfico deve ser protegido por senha. Não é possível adicionar um contêiner criptográfico sem senha.

Endereço e Porta (servidores de coleta de telemetria)

Configurações para conexão com servidores de coleta de telemetria. É possível inserir um endereço IP (IPv4 ou IPv6).

É possível adicionar vários endereços de servidores de coleta de telemetria. O Kaspersky Endpoint Security tenta se conectar ao servidor no primeiro endereço IP. Caso a conexão não possa ser estabelecida, o Kaspersky Endpoint Security tenta se conectar ao segundo endereço IP na lista e assim sucessivamente.

Enviar telemetria aos servidores de coleta de telemetria

Essa funcionalidade permite desativar completamente o envio de telemetria para o servidor KATA. Por exemplo, se você estiver usando a Kaspersky Anti Targeted Attack Platform junto com outra solução que também utiliza telemetria, é possível desativar o envio de telemetria para a KATA (EDR). Isso permite otimizar a carga do servidor para essas soluções. Caso tenha a solução Managed Detection and Response e KATA (EDR) implantados, será possível usar a telemetria MDR e criar tarefas de Resposta a Ameaças no KATA (EDR).

  • Enviar apenas telemetria com IOA. Isso permite otimizar a telemetria e enviar apenas a telemetria com IOA. Indicadores de ataque (IOA) é uma regra que contém uma descrição de comportamentos suspeitos no sistema que podem indicar um ataque direcionado. O aplicativo compara o comportamento contínuo no sistema com essas regras e registra os eventos que indicam um ataque direcionado. O aplicativo usa a tecnologia de verificação de streaming, que permite fazer o rastreamento de eventos em tempo real.
  • Atraso máximo na transmissão de eventos (segundos). O aplicativo sincroniza com o servidor para enviar eventos após expirar o intervalo de sincronização. A configuração padrão é 30 segundos.
  • Limitar o número de pacotes de eventos por transmissão. O aplicativo sincroniza com o servidor quando o buffer está cheio de eventos. A configuração padrão é 1024 eventos. Esta função permite desativar o armazenamento em buffer de eventos antes da sincronização com o servidor.

Ativar a limitação de solicitações

Esse recurso ajuda a otimizar a carga no computador. Caso a caixa de seleção esteja marcada, o aplicativo restringirá os eventos transmitidos. Caso o número de eventos exceda os limites configurados, o Kaspersky Endpoint Security interromperá o envio de eventos.

Defina as configurações de telemetria:

  • Número máximo de eventos por hora. O aplicativo analisa o fluxo de dados de telemetria e restringe o envio de eventos caso ele exceda o limite de eventos configurado por hora. O Kaspersky Endpoint Security retoma o envio de eventos após uma hora. A configuração padrão é de 3 mil eventos por hora. Caso o aplicativo esteja instalado em um servidor, o fluxo de dados de telemetria será maior. Para servidores, é recomendável aumentar o valor para 60 mil eventos por hora.
  • Porcentagem de excesso de limite de evento. O aplicativo ordena os eventos por tipo (por exemplo, eventos "alterações no registro") e restringe a transmissão de eventos caso a proporção de eventos do mesmo tipo para o número total de eventos exceda o limite configurado em porcentagem. O Kaspersky Endpoint Security retoma o envio de eventos quando a proporção de outros eventos para o número total de eventos torna-se volumosa o suficiente novamente. A configuração padrão é 15%.

Enviar solicitação de sincronização para o servidor a cada (min.)

Frequência de solicitações de sincronização enviadas ao servidor. Durante a sincronização, o Kaspersky Endpoint Security envia informações sobre as configurações e tarefas modificadas do aplicativo.

Conexão com servidores de resposta

Um servidor de resposta é um dispositivo que recebe e verifica dados, estuda o comportamento de objetos e publica os resultados desses estudos.

Configure os seguintes itens para conexão dos servidores de resposta:

  • Tempo limite (s). Tempo limite máximo de resposta do servidor. Quando o tempo limite se esgotar, o Kaspersky Endpoint Security tentará estabelecer conexão com um servidor diferente.
  • Certificado do servidor. Certificado TLS para estabelecer uma conexão confiável com o servidor. É possível obter um certificado TLS na Open Single Management Platform (consulte as instruções na ajuda do Kaspersky Endpoint Detection and Response Expert (on-premise)).
  • Usar autenticação bidirecional. Autenticação bidirecional ao estabelecer uma conexão segura entre o Kaspersky Endpoint Security e o servidor. Para usar a autenticação bidirecional, é necessário ativá-la nas configurações do servidor, obter um contêiner de criptografia e definir uma senha para protegê-lo. Um contêiner criptográfico é um arquivo PFX com um certificado e uma chave privada. É possível obter um contêiner de criptografia na Open Single Management Platform (consulte as instruções na ajuda do Kaspersky Endpoint Detection and Response Expert (on-premise)). Depois de definir as configurações do servidor, é necessário também ativar a autenticação bidirecional nas configurações do Kaspersky Endpoint Security e carregar um contêiner de criptografia protegido por senha.

Endereço e Porta (servidores de resposta)

Configurações para conexão com servidores de resposta. É possível inserir um endereço IP (IPv4 ou IPv6).

É possível adicionar vários endereços de servidores de coleta de telemetria. O Kaspersky Endpoint Security tenta se conectar ao servidor no primeiro endereço IP. Caso a conexão não possa ser estabelecida, o Kaspersky Endpoint Security tenta se conectar ao segundo endereço IP na lista e assim sucessivamente.

Configurações do Endpoint Detection and Response (KATA)

Parâmetro

Descrição

Enviar solicitação de sincronização para o servidor a cada (min.)

Frequência de solicitações de sincronização enviadas ao servidor. Durante a sincronização, o Kaspersky Endpoint Security envia informações sobre as configurações e tarefas modificadas do aplicativo.

Conexão com servidores KATA

Configure os seguintes itens para conexão do servidor do Central Node:

  • Tempo limite (s). Tempo limite máximo de resposta do servidor do Central Node. Quando o tempo limite se esgota, o Kaspersky Endpoint Security tenta estabelecer conexão com um servidor de Central Node diferente.
  • Certificado do servidor. Certificado TLS para estabelecer uma conexão confiável com o servidor do Central Node. É possível obter um certificado TLS no console da Kaspersky Anti Targeted Attack Platform (consulte as instruções na ajuda da Kaspersky Anti Targeted Attack Platform).
  • Usar autenticação bidirecional. Autenticação bidirecional ao estabelecer uma conexão segura entre o Kaspersky Endpoint Security e o servidor do Central Node. Para usar a autenticação bidirecional, é necessário ativá-la nas configurações do servidor do Central Node, obter um contêiner de criptografia e definir uma senha para proteger o contêiner criptográfico. Um contêiner criptográfico é um arquivo PFX com um certificado e uma chave privada. É possível obter um contêiner criptográfico no console da Kaspersky Anti Targeted Attack Platform (consulte as instruções na ajuda da Kaspersky Anti Targeted Attack Platform). Depois de definir as configurações do Central Node, é necessário também habilitar a autenticação bidirecional nas configurações do Kaspersky Endpoint Security e carregar um contêiner criptográfico protegido por senha.

O contêiner criptográfico deve ser protegido por senha. Não é possível adicionar um contêiner criptográfico sem senha.

Endereço e Porta (servidores KATA)

Configurações para conexão com servidores da Kaspersky Anti Targeted Attack Platform. Insira o endereço IP do servidor Central Node (IPv4 ou IPv6) e a porta para conexão com o servidor.

É possível adicionar vários endereços de servidor do nó central. O Kaspersky Endpoint Security tenta se conectar ao servidor no primeiro endereço IP. Caso a conexão não possa ser estabelecida, o Kaspersky Endpoint Security tenta se conectar ao segundo endereço IP na lista e assim sucessivamente.

Enviar telemetria à KATA

Essa funcionalidade permite desativar completamente o envio de telemetria para o servidor KATA. Por exemplo, se você estiver usando a Kaspersky Anti Targeted Attack Platform junto com outra solução que também utiliza telemetria, é possível desativar o envio de telemetria para a KATA (EDR). Isso permite otimizar a carga do servidor para essas soluções. Caso tenha a solução Managed Detection and Response e KATA (EDR) implantados, será possível usar a telemetria MDR e criar tarefas de Resposta a Ameaças no KATA (EDR).

Defina as configurações de telemetria:

  • Atraso máximo na transmissão de eventos (segundos). O aplicativo sincroniza com o servidor para enviar eventos após expirar o intervalo de sincronização. A configuração padrão é 30 segundos.
  • Número máximo de pacotes de eventos. O aplicativo sincroniza com o servidor quando o buffer está cheio de eventos. A configuração padrão é 1024 eventos.

Ativar a limitação de solicitações

Esse recurso ajuda a otimizar a carga no computador. Caso a caixa de seleção esteja marcada, o aplicativo restringirá os eventos transmitidos. Caso o número de eventos exceda os limites configurados, o Kaspersky Endpoint Security interromperá o envio de eventos.

Defina as configurações de telemetria:

  • Número máximo de eventos por hora. O aplicativo analisa o fluxo de dados de telemetria e restringe o envio de eventos caso ele exceda o limite de eventos configurado por hora. O Kaspersky Endpoint Security retoma o envio de eventos após uma hora. A configuração padrão é de 3 mil eventos por hora. Caso o aplicativo esteja instalado em um servidor, o fluxo de dados de telemetria será maior. Para servidores, é recomendável aumentar o valor para 60 mil eventos por hora.
  • Porcentagem de excesso de limite de evento. O aplicativo ordena os eventos por tipo (por exemplo, eventos "alterações no registro") e restringe a transmissão de eventos caso a proporção de eventos do mesmo tipo para o número total de eventos exceda o limite configurado em porcentagem. O Kaspersky Endpoint Security retoma o envio de eventos quando a proporção de outros eventos para o número total de eventos torna-se volumosa o suficiente novamente. A configuração padrão é 15%.

Consulte também

Integração do agente integrado com EDR / NDR (KATA)

Configuração da telemetria EDR (KATA)
Início da página