Kaspersky Endpoint Security 12.1 版现在包含一个内置代理,用于管理作为 Kaspersky Anti Targeted Attack Platform 解决方案的一部分的 Kaspersky Endpoint Detection and Response 组件。Kaspersky Anti Targeted Attack Platform 是旨在及时检测复杂威胁(如针对性攻击、高级持久性威胁 (APT)、零日攻击等)的解决方案。Kaspersky Anti Targeted Attack Platform 包括两个功能块:Kaspersky Anti Targeted Attack(以下也称为“KATA”)和 Kaspersky Endpoint Detection and Response(以下也称为“EDR(KATA)”)。您可以单独购买 EDR(KATA)。有关解决方案的详细信息,请参阅 Kaspersky Anti Targeted Attack Platform 帮助。
Kaspersky Endpoint Security 安装在公司 IT 基础设施的各个计算机上,并持续监视流程、开放式网络连接和正在修改的文件。有关计算机上事件的信息(遥测数据)被发送到 Kaspersky Anti Targeted Attack Platform 服务器。此种情况下,Kaspersky Endpoint Security 也将应用程序发现的威胁信息和威胁处理结果信息发送到 Kaspersky Anti Targeted Attack Platform 服务器。
EDR(KATA)集成在 Kaspersky Security Center 控制台上配置。然后使用 Kaspersky Anti Targeted Attack Platform 控制台管理内置代理,包括运行任务、管理隔离对象、查看报告和其他操作。
Endpoint Detection and Response(KATA)设置
参数 |
描述 |
---|---|
KATA 服务器连接设置 |
“超时”。最大中央节点服务器响应超时。当超时用完时,Kaspersky Endpoint Security 会尝试连接到不同的中央节点服务器。 “服务器 TLS 证书”。用于与中央节点服务器建立可信连接的 TLS 证书。您可以在 Kaspersky Anti Targeted Attack Platform 控制台中获取 TLS 证书(请参阅 Kaspersky Anti Targeted Attack Platform 帮助中的说明)。 “使用双向认证”。在 Kaspersky Endpoint Security 和中央节点之间建立安全连接时进行双向身份验证。要使用双向身份验证,您需要在中央节点设置中启用双向身份验证,然后获取加密容器并设置密码以保护加密容器。加密容器是带有证书和私钥的 PFX 存档。您可以在 Kaspersky Anti Targeted Attack Platform 控制台中获得一个加密容器(请参阅 Kaspersky Anti Targeted Attack Platform 帮助中的说明)。配置中央节点设置后,您还需要在 Kaspersky Endpoint Security 设置中启用双向身份验证并加载受密码保护的加密容器。 加密容器必须受密码保护。无法添加密码为空的加密容器。 |
KATA 服务器 |
中央节点服务器连接设置。您可以输入 IP 地址(IPv4 或 IPv6)。 |
发送同步请求到 KATA 服务器的间隔(分钟) |
发送到中央节点服务器的同步请求的频率。在同步期间,Kaspersky Endpoint Security 发送有关修改的应用程序设置和任务的信息。 |
将遥测数据发送到 KATA |
此功能使您可以完全关闭向服务器发送遥测数据。如果您将 Kaspersky Anti Targeted Attack Platform 与另一个也使用遥测的解决方案一起使用,您可以关闭 KATA (EDR) 的遥测。这使您可以优化这些解决方案的服务器负载。例如,如果您部署了托管检测和响应解决方案和 KATA (EDR),则可以使用 MDR 遥测并在 KATA (EDR) 中创建威胁响应任务。 |
最大事件传输延迟(秒) |
应用程序在同步间隔到期后与服务器同步以发送事件。默认设置是 30 秒。 |
启用请求限制 |
该功能有助于优化服务器上的负载。如果选中该复选框,应用程序将限制传输的事件。如果事件数量超过配置的限制,Kaspersky Endpoint Security 将停止发送事件。 |
每小时最大事件数 |
如果事件流超过配置的每小时事件数限制,应用程序会分析遥测数据流并限制事件的发送。Kaspersky Endpoint Security 在一小时后恢复发送事件。默认设置是每小时 3000 个事件。 |
超出事件限制的百分比 |
该应用程序按类型对事件进行排序(例如,“注册表中的更改”事件),如果相同类型的事件占事件总数的比率超过配置的百分比限制,则限制事件的传输。当其他事件与事件总数的比率再次变得足够大时,Kaspersky Endpoint Security 将恢复发送事件。默认设置为 15%。 |