Endpoint Detection and Response Expert (on-premise)
Kaspersky Endpoint Security for Windows 支持与 Kaspersky Endpoint Detection and Response Expert (on-premise) 解决方案集成。Kaspersky Endpoint Detection and Response Expert (on-premise) 是一款企业网络安全解决方案,其中包括卡巴斯基应用程序,可帮助组织防御大多数类型的网络风险并涵盖最重要的威胁传播场景。EDR Expert (on-premise) 组件部署在 Open Single Management Platform (OSMP) 上。该平台可在单一界面中运行跨平台方案,并允许将卡巴斯基应用程序与第三方应用程序集成到全面的安全系统中。
解决方案的核心要素之一是 SIEM。SIEM 跟踪来自所有组件的事件,并使用供应商和用户定义的规则将这些事件相互关联起来。EDR Expert (on-premise) 会查看从企业基础设施接收的日志和遥测数据,以自动检测攻击,并允许使用统一的调查图来调查事件,该调查图结合了 EDR Expert (on-premise) 中采集的所有事件,包括来自卡巴斯基应用程序和第三方信息安全产品的事件。
对于高级事件的响应,EDR Expert (on-premise) 使用预设方案和用户自定义方案。您还可以使用来自第三方应用程序的响应操作以及涉及多个应用程序的响应方案。
Endpoint Detection and Response(KATA)
Kaspersky Endpoint Security for Windows 支持作为 Kaspersky Anti Targeted Attack Platform (EDR (KATA)) 解决方案的一部分使用 Kaspersky Endpoint Detection and Response 组件。Kaspersky Anti Targeted Attack Platform 是旨在及时检测复杂威胁(如针对性攻击、高级持久性威胁 (APT)、零日攻击等)的解决方案。Kaspersky Anti Targeted Attack Platform 包括三个功能单元:
您可以购买所有功能单元,也可以单独购买单个功能单元。有关解决方案的详细信息,请参阅 Kaspersky Anti Targeted Attack Platform 帮助。
Kaspersky Endpoint Security 安装在公司 IT 基础设施的各个计算机上,并持续监视流程、开放式网络连接和正在修改的文件。有关计算机上事件的信息(遥测数据)被发送到 Kaspersky Anti Targeted Attack Platform 服务器。此种情况下,Kaspersky Endpoint Security 也将应用程序发现的威胁信息和威胁处理结果信息发送到 Kaspersky Anti Targeted Attack Platform 服务器。
EDR (KATA) 和 NDR (KATA) 集成在 Kaspersky Security Center 控制台上配置。然后使用 Kaspersky Anti Targeted Attack Platform 控制台管理内置代理,包括运行任务、管理隔离对象、查看报告和其他操作。
Endpoint Detection and Response Expert (on-premise) 设置
参数 |
描述 |
|---|---|
连接到遥测采集服务器 |
遥测采集服务器 是 SIEM 解决方案的一部分,用于收集、规范化、关联、分析和存储有关计算机上发生的事件的信息。 配置以下内容以连接到遥测采集服务器(KUMA):
加密容器必须受密码保护。无法添加密码为空的加密容器。 |
地址和端口(遥测采集服务器) |
连接遥测采集服务器的设置。您可以输入 IP 地址(IPv4 或 IPv6)。 您可以添加多个遥测采集服务器地址。Kaspersky Endpoint Security 尝试连接到第一个 IP 地址的服务器。如果连接失败,Kaspersky Endpoint Security 将尝试连接到列表中的第二个 IP 地址,依此类推。 |
将遥测发送到遥测采集服务器 |
此功能使您可以完全关闭向 KATA 服务器发送遥测数据。例如,如果您将 Kaspersky Anti Targeted Attack Platform 与另一个也使用遥测的解决方案一起使用,您可以关闭 KATA (EDR) 的遥测发送。这使您可以优化这些解决方案的服务器负载。如果您部署了 Managed Detection and Response 解决方案和 KATA (EDR),则可以使用 MDR 遥测并在 KATA (EDR) 中创建威胁响应任务。
|
启用请求限制 |
该功能有助于优化服务器上的负载。如果选中该复选框,应用程序将限制传输的事件。如果事件数量超过配置的限制,Kaspersky Endpoint Security 将停止发送事件。 配置遥测设置:
|
发送同步请求到服务器的间隔(分钟) |
发送到服务器的同步请求的频率。在同步期间,Kaspersky Endpoint Security 发送有关修改的应用程序设置和任务的信息。 |
连接到响应服务器 |
响应服务器 是一个用于接收和扫描数据、研究对象行为和发布此类研究结果的服务器。 为响应服务器连接配置以下内容:
|
地址和端口(响应服务器) |
连接到响应服务器的设置。您可以输入 IP 地址(IPv4 或 IPv6)。 您可以添加多个遥测采集服务器地址。Kaspersky Endpoint Security 尝试连接到第一个 IP 地址的服务器。如果连接失败,Kaspersky Endpoint Security 将尝试连接到列表中的第二个 IP 地址,依此类推。 |
Endpoint Detection and Response(KATA)设置
参数 |
描述 |
|---|---|
发送同步请求到服务器的间隔(分钟) |
发送到服务器的同步请求的频率。在同步期间,Kaspersky Endpoint Security 发送有关修改的应用程序设置和任务的信息。 |
连接到 KATA 服务器 |
为 Central Node 服务器连接配置以下内容:
加密容器必须受密码保护。无法添加密码为空的加密容器。 |
地址和端口(KATA 服务器) |
连接到 Kaspersky Anti Targeted Attack Platform 服务器的设置。请输入 Central Node 服务器 IP 地址(IPv4 或 IPv6)和连接到服务器的端口。 您可以添加多个 Central Node 服务器地址。Kaspersky Endpoint Security 尝试连接到第一个 IP 地址的服务器。如果连接失败,Kaspersky Endpoint Security 将尝试连接到列表中的第二个 IP 地址,依此类推。 |
发送遥测到 KATA |
此功能使您可以完全关闭向 KATA 服务器发送遥测数据。例如,如果您将 Kaspersky Anti Targeted Attack Platform 与另一个也使用遥测的解决方案一起使用,您可以关闭 KATA (EDR) 的遥测发送。这使您可以优化这些解决方案的服务器负载。如果您部署了 Managed Detection and Response 解决方案和 KATA (EDR),则可以使用 MDR 遥测并在 KATA (EDR) 中创建威胁响应任务。 配置遥测设置:
|
启用请求限制 |
该功能有助于优化服务器上的负载。如果选中该复选框,应用程序将限制传输的事件。如果事件数量超过配置的限制,Kaspersky Endpoint Security 将停止发送事件。 配置遥测设置:
|