Endpoint Detection and Response Expert (on-premise)

Endpoint Detection and Response Expert (on-premise)

Kaspersky Endpoint Security for Windows acceptă integrarea cu soluțiile Kaspersky Endpoint Detection and Response Expert (on-premise). Kaspersky Endpoint Detection and Response Expert (on-premise) este o soluție de securitate cibernetică pentru companii care include aplicații Kaspersky ce permit unei organizații să se apere împotriva majorității tipurilor de riscuri cibernetice și să acopere cele mai importante scenarii de propagare a amenințărilor. Componentele EDR Expert (on-premise) sunt implementate pe Open Single Management Platform (OSMP). Această platformă execută scenarii multiplatformă într-o singură interfață și permite integrarea aplicațiilor Kaspersky cu aplicații terțe într-un sistem de securitate complet.

Unul dintre elementele centrale ale soluției este SIEM. SIEM urmărește evenimentele provenite de la toate componentele și corelează aceste evenimente între ele, folosind reguli definite de producător și de utilizator. EDR Expert (on-premise) analizează jurnalele și datele de telemetrie primite de la infrastructura corporativă pentru a detecta automat atacurile și permite investigarea incidentelor utilizând un grafic de investigare unificat, care combină toate evenimentele colectate în EDR Expert (on-premise), inclusiv evenimentele din aplicațiile Kaspersky și produsele de securitate a informațiilor de la terți.

Pentru a răspunde la incidente avansate, EDR Expert (on-premise) utilizează scenarii prestabilite și definite de utilizator. De asemenea, poți utiliza acțiuni de răspuns de la aplicații terțe și scenarii de răspuns care implică mai multe aplicații.

Endpoint Detection and Response (KATA)

Kaspersky Endpoint Security for Windows acceptă lucrul cu componenta Kaspersky Endpoint Detection and Response ca parte a soluției Kaspersky Anti Targeted Attack Platform (EDR (KATA)). Kaspersky Anti Targeted Attack Platform este o soluție concepută pentru detectarea în timp util a amenințărilor sofisticate, cum ar fi atacuri direcționate, amenințări persistente avansate (APT), atacuri zero-day și altele. Kaspersky Anti Targeted Attack Platform include trei unități funcționale:

Poți achiziționa separat toate unitățile funcționale sau unitățile funcționale individuale. Pentru informații detaliate despre soluție, consultați Ajutor pentru Kaspersky Anti Targeted Attack Platform.

Kaspersky Endpoint Security este instalat pe computere individuale din infrastructura IT corporativă și monitorizează continuu procesele, conexiunile la rețea deschise și fișierele care sunt modificate. Informațiile despre evenimentele de pe computer (date de telemetrie) sunt trimise către serverul Kaspersky Anti Targeted Attack Platform. În acest caz, aplicația Kaspersky Endpoint Security trimite, de asemenea, informații către serverul Kaspersky Anti Targeted Attack Platform despre amenințările descoperite de aplicație, precum și informații despre rezultatele procesării pentru aceste amenințări.

Integrarea EDR (KATA) și NDR (KATA) este configurată pe consola Kaspersky Security Center. Agentul încorporat este apoi gestionat utilizând consola Kaspersky Anti Targeted Attack Platform, inclusiv executarea activităților, gestionarea obiectelor aflate în carantină, vizualizarea rapoartelor și alte acțiuni.

Setări Endpoint Detection and Response Expert (on-premise)

Parametru

Descriere

Connection to telemetry collection servers

Un server de colectare a telemetriei este un server care face parte dintr-o soluție SIEM și care colectează, normalizează, corelează, analizează și stochează informații despre evenimentele care au loc pe computer.

Configurează următoarele pentru a te conecta la serverele de colectare a datelor de telemetrie (KUMA):

  • Timeout (sec). Expirarea timpului maxim de răspuns al serverului. Când timpul de expirare se termină, Kaspersky Endpoint Security încearcă să se conecteze la un alt server.
  • Server certificate. Certificat TLS pentru stabilirea unei conexiuni de încredere cu serverul. Poți obține un certificat TLS pe ​​Open Single Management Platform (consultă instrucțiunile din Ajutor pentru Kaspersky Endpoint Detection and Response Expert (on-premise)).
  • Use two-way authentication. Autentificare mutuală la stabilirea unei conexiuni securizate între Kaspersky Endpoint Security și server. Pentru a utiliza autentificarea mutuală, trebuie să activezi autentificarea mutuală în setările serverului, apoi să obții un container crypto și să setezi o parolă pentru a proteja containerul crypto. Un cripto-container este o arhivă PFX cu un certificat și o cheie privată. Poți obține un container crypto pe Open Single Management Platform (consultă instrucțiunile din Ajutor pentru Kaspersky Endpoint Detection and Response Expert (on-premise)). După configurarea setărilor serverului, trebuie să activezi autentificarea mutuală și în setările Kaspersky Endpoint Security și să încarci un container crypto protejat prin parolă.

Criptocontainerul trebuie să fie protejat prin parolă. Nu este posibil să adăugați un criptocontainer cu o parolă necompletată.

Address și Port (servere de colectare a datelor de telemetrie)

Setări pentru conectarea la serverele de colectare a telemetriei. Puteți introduce o adresă IP (IPv4 sau IPv6).

Poți adăuga mai multe adrese de server de colectare a datelor de telemetrie. Kaspersky Endpoint Security încearcă să se conecteze la server la prima adresă IP. Dacă nu se poate stabili o conexiune, Kaspersky Endpoint Security încearcă să se conecteze la a doua adresă IP din listă și așa mai departe.

Send telemetry to telemetry collection servers

Această funcționalitate îți permite să dezactivezi complet trimiterea de telemetrie către serverul KATA. De exemplu, dacă utilizezi Kaspersky Anti Targeted Attack Platform împreună cu o altă soluție care utilizează, de asemenea, telemetria, poți dezactiva transmiterea telemetriei pentru KATA (EDR). Acest lucru vă permite să optimizați încărcarea serverului pentru aceste soluții. Dacă ai implementate soluțiile Managed Detection and Response și KATA (EDR), poți utiliza telemetria MDR și poți crea activități Răspuns la amenințare în KATA (EDR).

  • Send telemetry with IOA only. Aceasta permite optimizarea telemetriei și trimiterea doar a telemetriei cu IOA. Indicatorul de atac (IOA) este o regulă care conține o descriere a comportamentului suspect din sistem, care poate indica un atac țintit. Aplicația compară comportamentul curent din sistem cu aceste reguli și înregistrează în jurnal evenimentele care indică un atac țintit. Aplicația utilizează tehnologia scanare în flux care permite urmărirea în timp real a acestor evenimente.
  • Maximum event transmission delay (sec). Aplicația se sincronizează cu serverul pentru a trimite evenimente după expirarea intervalului de sincronizare. Valoarea implicită este 30 de secunde.
  • Limit the number of event packets per transmission. Aplicația se sincronizează cu serverul atunci când memoria tampon este umplută cu evenimente. Valoarea implicită este de 1024 de evenimente. Această funcție permite dezactivarea utilizării ca zonă de tampon a evenimentelor înainte de sincronizarea cu serverul.

Enable request throttling

Această caracteristică ajută la optimizarea încărcării serverului. În cazul în care caseta de selectare este bifată, aplicația restricționează evenimentele transmise. Dacă numărul de evenimente depășește limitele configurate, Kaspersky Endpoint Security oprește trimiterea evenimentelor.

Configurează setările pentru telemetrie:

  • Maximum number of events per hour. Aplicația analizează fluxul de date de telemetrie și restricționează trimiterea evenimentelor dacă fluxul de evenimente depășește limita de evenimente pe oră configurată. Kaspersky Endpoint Security reia trimiterea evenimentelor după o oră. Valoarea implicită este de 3000 de evenimente pe oră. Dacă aplicația este instalată pe un server, fluxul de date de telemetrie este mai mare. Pentru servere, se recomandă creșterea valorii la 60.000 de evenimente pe oră.
  • Percentage of event limit excess. Aplicația sortează evenimentele după tip (de exemplu, evenimente „modificări în registry”) și restricționează transmiterea evenimentelor dacă raportul dintre evenimente de același tip și numărul total de evenimente depășește limita configurată în procente. Kaspersky Endpoint Security reia trimiterea evenimentelor atunci când raportul dintre alte evenimente și numărul total de evenimente devine din nou suficient de mare. Valoarea implicită este 15%.

Send sync request to server every (min)

Frecvența solicitărilor de sincronizare trimise către serverul. În timpul sincronizării, Kaspersky Endpoint Security trimite informații despre setările și activitățile modificate ale aplicației.

Connection to response servers

Un server de răspuns este un server pentru primirea și scanarea datelor, studierea comportamentului obiectelor și publicarea rezultatelor acestor studii.

Configurează următoarele detalii pentru conexiunea la serverul de răspuns:

  • Timeout (sec). Expirarea timpului maxim de răspuns al serverului. Când timpul de expirare se termină, Kaspersky Endpoint Security încearcă să se conecteze la un alt server.
  • Server certificate. Certificat TLS pentru stabilirea unei conexiuni de încredere cu serverul. Poți obține un certificat TLS pe ​​Open Single Management Platform (consultă instrucțiunile din Ajutor pentru Kaspersky Endpoint Detection and Response Expert (on-premise)).
  • Use two-way authentication. Autentificare mutuală la stabilirea unei conexiuni securizate între Kaspersky Endpoint Security și server. Pentru a utiliza autentificarea mutuală, trebuie să activezi autentificarea mutuală în setările serverului, apoi să obții un container crypto și să setezi o parolă pentru a proteja containerul crypto. Un cripto-container este o arhivă PFX cu un certificat și o cheie privată. Poți obține un container crypto pe Open Single Management Platform (consultă instrucțiunile din Ajutor pentru Kaspersky Endpoint Detection and Response Expert (on-premise)). După configurarea setărilor serverului, trebuie să activezi autentificarea mutuală și în setările Kaspersky Endpoint Security și să încarci un container crypto protejat prin parolă.

Address și Port (servere de răspuns)

Setări pentru conectarea la serverele de răspuns. Puteți introduce o adresă IP (IPv4 sau IPv6).

Poți adăuga mai multe adrese de server de colectare a datelor de telemetrie. Kaspersky Endpoint Security încearcă să se conecteze la server la prima adresă IP. Dacă nu se poate stabili o conexiune, Kaspersky Endpoint Security încearcă să se conecteze la a doua adresă IP din listă și așa mai departe.

Setări Endpoint Detection and Response (KATA)

Parametru

Descriere

Send sync request to server every (min)

Frecvența solicitărilor de sincronizare trimise către serverul. În timpul sincronizării, Kaspersky Endpoint Security trimite informații despre setările și activitățile modificate ale aplicației.

Connection to KATA servers

Configurează următoarele detalii pentru conexiunea la serverul Central Node:

  • Timeout (sec). Expirarea timpului maxim de răspuns al serverului Central Node. Când timpul de expirare se termină, Kaspersky Endpoint Security încearcă să se conecteze la un alt server Central Node.
  • Server certificate. Certificat TLS pentru stabilirea unei conexiuni de încredere cu serverul Central Node. Puteți obține un certificat TLS în consola Kaspersky Anti Targeted Attack Platform (consultați instrucțiunile din Ajutor Kaspersky Anti Targeted Attack Platform).
  • Use two-way authentication. Autentificare mutuală la stabilirea unei conexiuni securizate între Kaspersky Endpoint Security și serverul Central Node. Pentru a utiliza autentificarea mutuală, trebuie să activezi autentificarea mutuală în setările serverului Central Node, apoi să obții un container crypto și să setezi o parolă pentru a proteja containerul crypto. Un cripto-container este o arhivă PFX cu un certificat și o cheie privată. Puteți obține un cripto-container în consola Kaspersky Anti Targeted Attack Platform (consultați instrucțiunile din Ajutor Kaspersky Anti Targeted Attack Platform). După configurarea setărilor Central Node, trebuie să activați și autentificarea mutuală în setările Kaspersky Endpoint Security și să încărcați un container crypto protejat prin parolă.

Criptocontainerul trebuie să fie protejat prin parolă. Nu este posibil să adăugați un criptocontainer cu o parolă necompletată.

Address și Port (servere KATA)

Setări pentru conectarea la serverele Kaspersky Anti Targeted Attack Platform. Introdu adresa IP a serverului Central Node (IPv4, Ipv6) și portul de conectare la server.

Poți adăuga mai multe adrese de server Central Node. Kaspersky Endpoint Security încearcă să se conecteze la server la prima adresă IP. Dacă nu se poate stabili o conexiune, Kaspersky Endpoint Security încearcă să se conecteze la a doua adresă IP din listă și așa mai departe.

Send telemetry to KATA

Această funcționalitate îți permite să dezactivezi complet trimiterea de telemetrie către serverul KATA. De exemplu, dacă utilizezi Kaspersky Anti Targeted Attack Platform împreună cu o altă soluție care utilizează, de asemenea, telemetria, poți dezactiva transmiterea telemetriei pentru KATA (EDR). Acest lucru vă permite să optimizați încărcarea serverului pentru aceste soluții. Dacă ai implementate soluțiile Managed Detection and Response și KATA (EDR), poți utiliza telemetria MDR și poți crea activități Răspuns la amenințare în KATA (EDR).

Configurează setările pentru telemetrie:

  • Maximum event transmission delay (sec). Aplicația se sincronizează cu serverul pentru a trimite evenimente după expirarea intervalului de sincronizare. Valoarea implicită este 30 de secunde.
  • Maximum number of event packages. Aplicația se sincronizează cu serverul atunci când memoria tampon este umplută cu evenimente. Valoarea implicită este de 1024 de evenimente.

Enable request throttling

Această caracteristică ajută la optimizarea încărcării serverului. În cazul în care caseta de selectare este bifată, aplicația restricționează evenimentele transmise. Dacă numărul de evenimente depășește limitele configurate, Kaspersky Endpoint Security oprește trimiterea evenimentelor.

Configurează setările pentru telemetrie:

  • Maximum number of events per hour. Aplicația analizează fluxul de date de telemetrie și restricționează trimiterea evenimentelor dacă fluxul de evenimente depășește limita de evenimente pe oră configurată. Kaspersky Endpoint Security reia trimiterea evenimentelor după o oră. Valoarea implicită este de 3000 de evenimente pe oră. Dacă aplicația este instalată pe un server, fluxul de date de telemetrie este mai mare. Pentru servere, se recomandă creșterea valorii la 60.000 de evenimente pe oră.
  • Percentage of event limit excess. Aplicația sortează evenimentele după tip (de exemplu, evenimente „modificări în registry”) și restricționează transmiterea evenimentelor dacă raportul dintre evenimente de același tip și numărul total de evenimente depășește limita configurată în procente. Kaspersky Endpoint Security reia trimiterea evenimentelor atunci când raportul dintre alte evenimente și numărul total de evenimente devine din nou suficient de mare. Valoarea implicită este 15%.

Consultă și

Integrarea agentului încorporat cu EDR / NDR (KATA)

Configurarea telemetriei EDR (KATA)
Începutul paginii