Kaspersky Anti Targeted Attack Platform
|
Kaspersky Endpoint Security for Windows obsługuje współpracę z rozwiązaniem Kaspersky Anti Targeted Attack Platform (EDR (KATA)). Kaspersky Anti Targeted Attack Platform to rozwiązanie zaprojektowane w celu szybkiego wykrywania złożonych zagrożeń, takich jak ataki ukierunkowane, zaawansowane trwałe zagrożenia (APT), ataki zero-day i inne. Kaspersky Anti Targeted Attack Platform składa się z trzech jednostek funkcjonalnych:
Można zakupić wszystkie jednostki funkcjonalne lub poszczególne jednostki funkcjonalne osobno. Szczegółowe informacje na temat rozwiązania można znaleźć w systemie pomocy dla Kaspersky Anti Targeted Attack Platform. Aplikacja zawiera wbudowanych agentów dla komponentów EDR, NDR. Aplikacja obsługuje również pracę z komponentem Sandbox, który jest częścią KATA. |
Narzędzia analizy zagrożeń
Kaspersky Endpoint Detection and Response używa następujących narzędzi do analizy zagrożeń:
- Integracja z portalem Kaspersky Threat Intelligence Portal, który zawiera i wyświetla informacje o reputacji plików i adresów sieciowych.
- Baza danych Kaspersky Threats.
- Infrastruktura usługi chmury Kaspersky Security Network (zwana dalej również „KSN”), która zapewnia dostęp do informacji o reputacji pliku, strony internetowej i oprogramowania w czasie rzeczywistym z bazy wiedzy Kaspersky. Korzystanie z danych z Kaspersky Security Network zapewnia przyspieszenie czasu odpowiedzi aplikacji firmy Kaspersky na zagrożenia, ulepszenie działania niektórych modułów ochrony oraz zmniejszenie prawdopodobieństwa wystąpienia fałszywych alarmów.
Zasada działania rozwiązania
Aplikacja Kaspersky Endpoint Security jest instalowana na pojedynczych komputerach w korporacyjnej infrastrukturze IT i cały czas monitoruje procesy, otwiera połączenia sieciowe i modyfikowane pliki. Informacje o zdarzeniach na komputerze (dane telemetryczne) są wysyłane na serwer Kaspersky Anti Targeted Attack Platform. W takim przypadku Kaspersky Endpoint Security wysyła również informacje do serwera Kaspersky Anti Targeted Attack Platform o zagrożeniach wykrytych przez aplikację oraz informacje o wynikach przetwarzania tych zagrożeń.
Integracja EDR (KATA) i NDR (KATA) jest konfigurowana na konsoli Kaspersky Security Center. Wbudowany agent jest następnie zarządzany przy użyciu konsoli Kaspersky Anti Targeted Attack Platform, w tym uruchamianie zadań, zarządzanie obiektami poddanymi kwarantannie, przeglądanie raportów i inne działania.
Konfiguracje Kaspersky Endpoint Security do pracy z EDR / NDR (KATA)
Do pracy z EDR / NDR (KATA) można zastosować następujące konfiguracje:
- [KES+wbudowany agent]. W tej konfiguracji Kaspersky Endpoint Security działa zarówno jako aplikacja zapewniająca bezpieczeństwo komputera, jak i aplikacja do pracy z EDR / NDR (KATA). Wbudowany agent EDR (KATA) jest dostępny w programie Kaspersky Endpoint Security 12.1 for Windows lub nowszym. Wbudowany agent NDR (KATA) jest dostępny w programie Kaspersky Endpoint Security 12.7 for Windows lub nowszym.
- [zewnętrzny agent EPP+EDR]. W tej konfiguracji bezpieczeństwo infrastruktury IT zapewnia zewnętrzna platforma Endpoint Protection Platform (EPP). Interakcja z EDR / NDR (KATA) jest zapewniana przez Kaspersky Endpoint Security w konfiguracji Endpoint Detection Response Agent (EDR Agent). W tej konfiguracji EDR Agent jest kompatybilny z aplikacjami EPP innych firm. EDR Agent dla EDR (KATA) jest dostępny w Kaspersky Endpoint Security 12.3 for Windows lub nowszym. EDR Agent dla NDR (KATA) jest dostępny w Kaspersky Endpoint Security 12.7 for Windows lub nowszym.
Obsługa poprzednich wersji Kaspersky Endpoint Security
Jeśli używasz Kaspersky Endpoint Security 11.2.0–11.8.0 do współdziałania z Kaspersky Anti Targeted Attack Platform (EDR), aplikacja zawiera Kaspersky Endpoint Agent. Możesz zainstalować Kaspersky Endpoint Agent wraz z Kaspersky Endpoint Security.
Jeśli używasz Kaspersky Endpoint Security 11.9.0–12.0, musisz zainstalować Kaspersky Endpoint Agent oddzielnie, ponieważ począwszy od Kaspersky Endpoint Security 11.9.0 pakiet dystrybucyjny Kaspersky Endpoint Agent nie jest już częścią zestawu dystrybucyjnego Kaspersky Endpoint Security.