A Kaspersky Endpoint Security for Windows támogatja a Kaspersky Endpoint Detection and Response összetevővel való együttműködést a Kaspersky Anti Targeted Attack Platform (EDR (KATA)) megoldás részeként. A Kaspersky Anti Targeted Attack Platform egy megoldás, ami a kifinomult fenyegetések, például célzott támadások és speciális, állandó veszélyek (APT), valamint nagy kockázatú veszélyforrások időszerű észlelésére szolgál. A Kaspersky Anti Targeted Attack Platform három funkcionális egységet tartalmaz:
Az összes funkcionális egységet vagy az egyes funkcionális egységeket külön is megvásárolhatja. A megoldás részleteivel kapcsolatos információért lásd a Kaspersky Anti Targeted Attack Platform útmutatót.
A Kaspersky Endpoint Security a vállalati IT-infrastruktúra egyes számítógépeire van telepítve, és folyamatosan figyeli a folyamatokat, a nyitott hálózati kapcsolatokat és a módosítás alatt álló fájlokat. A számítógépen zajló eseményekkel kapcsolatos információk (telemetriai adatok) elküldésre kerülnek a Kaspersky Anti Targeted Attack Platform kiszolgálóra. Ebben az esetben a Kaspersky Endpoint Security információkat küld a Kaspersky Anti Targeted Attack Platform kiszolgálónak az alkalmazás által észlelt fenyegetésekről, valamint az ilyen fenyegetések feldolgozási eredményeiről is.
Az EDR (KATA) és NDR (KATA) integráció a Kaspersky Security Center konzolon van konfigurálva. A beépített ügynök ezután a Kaspersky Anti Targeted Attack Platform konzol segítségével kezelhető, beleértve a feladatok futtatását, a karanténba helyezett objektumok kezelését, a jelentések megtekintését és az egyéb műveleteket.
A Network Detection and Response (KATA) paraméterei
Paraméter |
Leírás |
|---|---|
Kiszolgáló kapcsolódási beállításai |
Időtúllépés (mp). A Central Node kiszolgálójának maximális válaszideje. Amikor lejár az időkorlát, a Kaspersky Endpoint Security megpróbál csatlakozni egy másik Central Node-kiszolgálóhoz. Kiszolgálói TLS-tanúsítvány hibája. TLS-tanúsítvány a Central Node-kiszolgálóval való megbízható kapcsolat létrehozásához. A TLS-tanúsítványt beszerezheti a Kaspersky Anti Targeted Attack Platform konzolon (az utasításokat a Kaspersky Anti Targeted Attack Platform Súgóban találja). Kétirányú hitelesítés használata. Kétirányú hitelesítés a Kaspersky Endpoint Security és a Central Node közötti biztonságos kapcsolat létrehozásakor. A kétirányú hitelesítés használatához engedélyeznie kell a kétirányú hitelesítést a Central Node beállításaiban, majd be kell szereznie egy kriptotárolót, és be kell állítania egy jelszót a kriptotároló védelméhez. A kriptotároló egy PFX archívum tanúsítvánnyal és privát kulccsal. A kriptotárolót beszerezheti a Kaspersky Anti Targeted Attack Platform konzolon (az utasításokat a Kaspersky Anti Targeted Attack Platform Súgóban találja). A Central Node beállításainak konfigurálása után engedélyeznie kell a kétirányú hitelesítést is a Kaspersky Endpoint Security beállításaiban, és be kell töltenie egy jelszóval védett kriptotárolót. A kriptotárolót jelszóval kell védeni. Üres jelszóval nem lehet kriptotárolót hozzáadni. |
Cím és port |
A Kaspersky Anti Targeted Attack Platform kiszolgálóinak csatlakozási beállításai. Megadhat egy IP-címet (IPv4 vagy IPv6). Több Central Node-kiszolgálócímet is megadhat. A Kaspersky Endpoint Security megpróbál csatlakozni a kiszolgálóhoz az első IP-címen. Ha a kapcsolat nem jön létre, a Kaspersky Endpoint Security a listán szereplő második IP-címre próbál kapcsolódni, és így tovább. |
Szinkronizálási kérés küldése a NDR kiszolgálójának ennyi percenként (perc) |
A kiszolgálónak küldött szinkronizálási kérések gyakorisága. A szinkronizálás során a Kaspersky Endpoint Security információkat küld a módosított alkalmazásbeállításokról és feladatokról. |
Maximális eseményátviteli idő (mp) |
Az alkalmazás szinkronizál a kiszolgálóval, hogy a szinkronizálási intervallum lejárta után eseményeket küldjön. Az alapértelmezett beállítás 30 másodperc. |
Kérésszabályzás engedélyezése |
Ez a funkció segíti a kiszolgáló terhelésének optimalizálását. Ha a jelölőnégyzet be van jelölve, az alkalmazás korlátozza a továbbított eseményeket. Ha az események száma meghaladja a beállított korlátokat, a Kaspersky Endpoint Security leállítja az események küldését. |
Események maximális száma óránként |
Az alkalmazás elemzi a telemetriai adatfolyamot, és korlátozza az események küldését, ha az eseményfolyam meghaladja a konfigurált események óránkénti korlátját. A Kaspersky Endpoint Security egy óra elteltével folytatja az események küldését. Az alapértelmezett beállítás óránként 3000 esemény. Ha az alkalmazás kiszolgálóra van telepítve, a telemetriai adatfolyam magasabb. Kiszolgálóknál ajánlott az értéket óránként 60 000 eseményre növelni. |
Eseménykorlát túllépésének százalékos aránya |
Az alkalmazás típusok szerint rendezi az eseményeket (például "Változások a beállításjegyzékben" események), és korlátozza az események továbbítását, ha az azonos típusú események aránya az események teljes számához viszonyítva meghaladja a beállított százalékos korlátot. A Kaspersky Endpoint Security akkor folytatja az események küldését, amikor a többi esemény aránya az események teljes számához képest ismét elég nagy lesz. Az alapértelmezett beállítás 15%. |