Endpoint Detection and Response (KATA)

Kaspersky Endpoint Security for Windows 支援 Kaspersky Endpoint Detection and Response 元件作為 Kaspersky Anti Targeted Attack Platform (EDR (KATA)) 解決方案的一部分工作。Kaspersky Anti Targeted Attack Platform 是旨在及時偵測複雜威脅(如針對性攻擊、進階持久性威脅 (APT)、零日攻擊等)的解決方案。Kaspersky Anti Targeted Attack Platform 包括兩個功能組:Kaspersky Anti Targeted Attack(以下也稱為”KATA”)和 Kaspersky Endpoint Detection and Response(以下也稱為”EDR (KATA)”)。您可以單獨購買 EDR (KATA)。有關解決方案的詳細資訊,請參閱 Kaspersky Anti Targeted Attack Platform 說明

Kaspersky Endpoint Security 應用程式安裝在公司 IT 基礎結構上的單個電腦上,持續監控處理程序、開啟的網路連線和被修改的檔案。有關電腦上的事件的資訊(遙測資料)被傳送到 Kaspersky Anti Targeted Attack Platform 伺服器。在此情況下,Kaspersky Endpoint Security 應用程式也會將應用程式發現的威脅相關資訊以及這些威脅的處理結果相關資訊傳送到 Kaspersky Anti Targeted Attack Platform 伺服器。

EDR (KATA) 整合在卡巴斯基安全管理中心主控台上配置。內建代理然後被使用 Kaspersky Anti Targeted Attack Platform 主控台進行管理,包括執行工作、管理隔離物件、檢視報告和其他操作。

Endpoint Detection and Response (KATA) 設定

參數

描述

KATA 伺服器連線設定

逾時中央節點伺服器響應最大超時。當超時用完時,Kaspersky Endpoint Security 會嘗試連線到不同的中央節點伺服器。

伺服器 TLS 憑證用於與中央節點伺服器建立可信連線的 TLS 憑證。您可以在 Kaspersky Anti Targeted Attack Platform 主控台中獲取 TLS 憑證(請參閱 Kaspersky Anti Targeted Attack Platform 說明)。

使用雙向身分驗證在 Kaspersky Endpoint Security 和中央節點之間建立安全連線時進行雙向身分驗證。要使用雙向身分驗證,您需要在中央節點設定中啟用雙向身分驗證,然後獲取加密容器並設定密碼以防護加密容器。加密容器是一個帶有憑證和私鑰的 PFX 存檔。您可以在 Kaspersky Anti Targeted Attack Platform 主控台中獲得一個加密容器(請參閱 Kaspersky Anti Targeted Attack Platform 說明)。配置中央節點設定後,您還需要在 Kaspersky Endpoint Security 設定中啟用雙向身分驗證並加載受密碼防護的加密容器。

加密容器必須受密碼防護。無法新增密碼為空的加密容器。

KATA 伺服器

中心節點伺服器連線設定。您可以輸入 IP 位址(IPv4 或 IPv6)。

傳送同步請求到 KATA 伺服器間隔(分)

傳送到中央節點伺服器的同步請求的頻率。在同步期間,Kaspersky Endpoint Security 傳送有關被修改應用程式設定和工作的資訊。

發送遙測資料到 KATA

此功能可讓您完全關閉向伺服器傳送遙測。如果您將 Kaspersky Anti Targeted Attack Platform 與另一個也使用遙測的解決方案一起使用,您可以關閉 KATA (EDR) 的遙測。這可讓您最佳化這些解決方案的伺服器負載。例如,如果您部署了 Managed Detection and Response 解決方案和 KATA (EDR),則可以使用 MDR 遙測並在 KATA (EDR) 中建立威脅回應工作。

最大事件傳輸延遲時間(秒)

應用程式在同步間隔到期後與伺服器同步以傳送事件。預設設定是 30 秒。

啟用請求節流

該功能有助於最佳化伺服器負載。如果選中該核取方塊,應用程式將限制傳輸的事件。如果事件數量超過配置的限制,Kaspersky Endpoint Security 將停止傳送事件。

每個小時的最大事件數量

如果事件流超過配置的每小時事件數限制,應用程式會分析遙測數據流並限制事件的傳送。Kaspersky Endpoint Security 在一小時後還原傳送事件。預設設定是每小時 3000 個事件。

事件限制超過百分比

該應用程式按類型對事件進行排序(例如,“登錄檔中的變更”事件),如果相同類型的事件佔事件總數的比率超過配置的百分比限制,則限制事件的傳輸。當其他事件與事件總數的比率再次變得足夠大時,Kaspersky Endpoint Security 會還原傳送事件。預設設定為 15%。

另請參閱

內建代理與 EDR (KATA) 整合

配置遙測

頁面頂部