Network Detection and Response (KATA)

Kaspersky Endpoint Security for Windows hỗ trợ làm việc với thành phần Kaspersky Endpoint Detection and Response, thuộc giải pháp Kaspersky Anti Targeted Attack Platform (EDR (KATA)). Kaspersky Anti Targeted Attack Platform là một giải pháp được thiết kế để phát hiện kịp thời các mối đe dọa tinh vi, chẳng hạn như các cuộc tấn công chủ đích, các mối đe dọa dai dẳng nâng cao (APT), các cuộc tấn công zero-day, v.v. Kaspersky Anti Targeted Attack Platform bao gồm ba đơn vị chức năng:

Bạn có thể mua tất cả các đơn vị chức năng hoặc mua riêng từng đơn vị chức năng. Để biết chi tiết về giải pháp này, vui lòng tham khảo Trợ giúp của Kaspersky Anti Targeted Attack Platform.

Kaspersky Endpoint Security được cài đặt trên các máy tính cá nhân, trên cơ sở hạ tầng CNTT của doanh nghiệp và liên tục giám sát các quy trình, kết nối mạng mở và các tập tin đang được sửa đổi. Thông tin về các sự kiện trên máy tính (dữ liệu đo từ xa) được gửi đến máy chủ của Kaspersky Anti Targeted Attack Platform. Trong trường hợp này, Kaspersky Endpoint Security cũng gửi thông tin đến máy chủ của Kaspersky Anti Targeted Attack Platform về các mối đe dọa được phát hiện bởi ứng dụng, bao gồm cả thông tin về kết quả xử lý các mối đe dọa này.

Việc tích hợp EDR (KATA) and NDR (KATA) được cấu hình trong bảng điều khiển Kaspersky Security Center. Tác nhân tích hợp sau đó được quản lý bằng bảng điều khiển Kaspersky Anti Targeted Attack Platform, bao gồm hoạt động chạy các tác vụ, quản lý các đối tượng được cách ly, xem báo cáo và các hành động khác.

Các tham số Network Detection and Response (KATA)

Tham số

Mô tả

Thiết lập kết nối máy chủ

Thời gian chờ. Thời gian chờ phản hồi tối đa của máy chủ Central Node. Khi hết thời gian chờ, Kaspersky Endpoint Security sẽ cố gắng kết nối với một máy chủ Central Node khác.

Chứng chỉ TLS máy chủ. Chứng chỉ TLS để thiết lập kết nối được tin tưởng với máy chủ Central Node. Bạn có thể lấy chứng chỉ TLS trong bảng điều khiển Kaspersky Anti Targeted Attack Platform (xem hướng dẫn trong Trợ giúp của Kaspersky Anti Targeted Attack Platform).

Sử dụng xác thực hai chiều. Xác thực hai chiều khi thiết lập kết nối bảo mật giữa Kaspersky Endpoint Security và Central Node. Để sử dụng xác thực hai chiều, bạn cần bật xác thực hai chiều trong cài đặt Central Node, sau đó lấy bộ chứa mã hóa và đặt mật khẩu để bảo vệ bộ chứa mã hóa. Một bộ chứa mã hóa là kho lưu trữ PFX có chứng chỉ và khóa riêng. Bạn có thể nhận một bộ chứa mã hóa trong bảng điều khiển Kaspersky Anti Targeted Attack Platform (xem hướng dẫn trong Trợ giúp của Kaspersky Anti Targeted Attack Platform). Sau khi cấu hình thiết lập Central Node, bạn cũng cần bật xác thực hai chiều trong thiết lập của Kaspersky Endpoint Security và tải bộ chứa mã hóa được bảo vệ bằng mật khẩu.

Bộ chứa mã hóa phải được bảo vệ bằng mật khẩu. Không thể thêm bộ chứa mã hóa có mật khẩu trống.

Địa chỉ và Cổng

Thiết lập kết nối máy chủ Kaspersky Anti Targeted Attack Platform. Bạn có thể nhập địa chỉ IP (IPv4 hoặc IPv6).

Bạn có thể thêm nhiều địa chỉ máy chủ Central Node. Kaspersky Endpoint Security sẽ cố gắng kết nối tới máy chủ tại địa chỉ IP đầu tiên. Nếu không thể thiết lập kết nối, Kaspersky Endpoint Security sẽ cố gắng kết nối tại địa chỉ IP thứ hai trong danh sách, v.v.

Gửi yêu cầu đồng bộ đến máy chủ NDR sau mỗi (phút)

Tần suất yêu cầu đồng bộ được gửi đến máy chủ. Trong quá trình đồng bộ, Kaspersky Endpoint Security sẽ gửi thông tin về các thiết lập và tác vụ ứng dụng được sửa đổi.

Độ trễ truyền gửi sự kiện tối đa (giây)

Ứng dụng sẽ đồng bộ với máy chủ để gửi các sự kiện sau khi hết khoảng thời gian đồng bộ. Thiết lập mặc định là 30 giây.

Cho phép làm nghẽn yêu cầu

Tính năng này giúp tối ưu hóa mức tải trên máy chủ. Nếu hộp kiểm được chọn, ứng dụng sẽ hạn chế các sự kiện được truyền gửi. Nếu số lượng sự kiện vượt quá giới hạn được cấu hình thì Kaspersky Endpoint Security sẽ ngừng gửi sự kiện.

Số lượng sự kiện tối đa mỗi giờ

Ứng dụng sẽ phân tích luồng dữ liệu đo từ xa và hạn chế gửi sự kiện nếu luồng sự kiện vượt quá giới hạn số sự kiện mỗi giờ đã được cấu hình. Kaspersky Endpoint Security sẽ tiếp tục gửi sự kiện sau một giờ. Thiết lập mặc định là 3000 sự kiện mỗi giờ. Nếu ứng dụng được cài đặt trên máy chủ, luồng dữ liệu đo từ xa sẽ cao hơn. Đối với máy chủ, bạn nên tăng giá trị lên 60.000 sự kiện mỗi giờ.

Tỷ lệ vượt quá hạn mức sự kiện

Ứng dụng sẽ sắp xếp sự kiện theo loại (ví dụ: sự kiện "thay đổi trong registry") và hạn chế truyền gửi sự kiện nếu tỷ lệ sự kiện cùng loại trên tổng số sự kiện vượt quá hạn mức được cấu hình theo tỷ lệ. Kaspersky Endpoint Security sẽ tiếp tục gửi sự kiện khi tỷ lệ của các sự kiện khác trên tổng số sự kiện trở lại đủ lớn. Thiết lập mặc định là 15%.

Về đầu trang