O Kaspersky Endpoint Security for Windows suporta o funcionamento com o componente Kaspersky Endpoint Detection and Response como parte da solução Kaspersky Anti Targeted Attack Platform (EDR (KATA). Kaspersky Anti Targeted Attack Platform é uma solução criada para a deteção atempada de ameaças sofisticadas, como ataques direcionados, ameaças persistentes avançadas (APT), ataques de dia zero e outras. A Kaspersky Anti Targeted Attack Platform inclui três unidades funcionais:
Pode adquirir todas as unidades funcionais ou unidades funcionais individuais separadamente. Para obter mais informações sobre a solução, consulte a Ajuda da Kaspersky Anti Targeted Attack Platform.
A Kaspersky Endpoint Security é instalada em computadores individuais na infraestrutura de TI corporativa e monitoriza continuamente os processos, as ligações de rede abertas e os ficheiros que estão a ser modificados. As informações sobre eventos no computador (dados de telemetria) são enviadas para o servidor Kaspersky Anti Targeted Attack Platform. Neste caso, o Kaspersky Endpoint Security também envia informações para o servidor Kaspersky Anti Targeted Attack Platform sobre ameaças detetadas pela aplicação, bem como informações sobre os resultados de processamento destas ameaças.
A integração do EDR (KATA) e NDR (KATA) é configurada na consola do Kaspersky Security Center. O agente integrado é então gerido usando a consola da Kaspersky Anti Targeted Attack Platform, incluindo a execução de tarefas, a gestão de objetos em quarentena, a exibição de relatórios e outras ações.
Parâmetros do Network Detection and Response (KATA)
Parâmetro |
Descrição |
|---|---|
Definições de ligação do servidor |
Tempo limite (seg). Tempo limite máximo de resposta do servidor do Central Node. Quando o tempo limite acaba, o Kaspersky Endpoint Security tenta ligar-se a um servidor de Central Node diferente. Certificado TLS do servidor. Certificado TLS para estabelecer uma ligação fiável com o servidor do Central Node. Pode obter um certificado TLS na consola da Kaspersky Anti Targeted Attack Platform (consulte as instruções na Ajuda da Kaspersky Anti Targeted Attack Platform). Usar a autenticação bidirecional. Autenticação bidirecional ao estabelecer uma ligação segura entre o Kaspersky Endpoint Security e o Central Node. Para utilizar a autenticação bidirecional, é necessário ativar a autenticação bidirecional nas definições do Central Node e, em seguida, obter um contentor criptográfico e definir uma palavra-passe para proteger o contentor criptográfico. Um cripto-contentor é um arquivo PFX com um certificado e uma chave privada. Pode obter um cripto-contentor na consola da Kaspersky Anti Targeted Attack Platform (consulte as instruções na Ajuda da Kaspersky Anti Targeted Attack Platform). Após configurar as definições do Central Node, é também necessário ativar a autenticação bidirecional nas definições do Kaspersky Endpoint Security e carregar um contentor criptográfico protegido por password. O cripto-contentor deve ser protegido por password. Não é possível adicionar um cripto-contentor com uma password em branco. |
Endereço e Porta |
Definições de ligação dos servidores da Kaspersky Anti Targeted Attack Platform. Pode inserir um endereço IP (IPv4 ou IPv6). Pode adicionar vários endereços do servidor do Nó Central. O Kaspersky Endpoint Security tenta ligar-se ao servidor no primeiro endereço IP. Se não for possível estabelecer uma ligação, o Kaspersky Endpoint Security tenta ligar-se ao segundo endereço IP da lista e assim sucessivamente. |
Enviar pedido de sincronização ao servidor NDR a cada (min) |
Frequência de pedidos de sincronização enviados ao servidor. Durante a sincronização, o Kaspersky Endpoint Security envia informações sobre as definições e tarefas modificadas da aplicação. |
Atraso máximo de transmissão de eventos (seg) |
A aplicação sincroniza com o servidor para enviar eventos após o término do intervalo de sincronização. A predefinição é 30 segundos. |
Ativar limitação de pedidos |
Esta ação ajuda a otimizar a carga no servidor. Se a caixa de verificação estiver selecionada, a aplicação restringe os eventos transmitidos. Se o número de eventos exceder os limites configurados, o Kaspersky Endpoint Security irá interromper o envio de eventos. |
Número máximo de eventos por hora |
A aplicação analisa o fluxo de dados de telemetria e restringe o envio de eventos se o fluxo de eventos exceder o limite de eventos por hora configurado. O Kaspersky Endpoint Security retoma o envio de eventos após uma hora. A predefinição é 3000 eventos por hora. Se a aplicação estiver instalada num servidor, o fluxo de dados de telemetria é mais elevado. Para os servidores, recomenda-se que o valor seja aumentado para 60 000 eventos por hora. |
Percentagem de excesso do limite de evento |
A aplicação ordena os eventos por tipo (por exemplo, eventos "alterações no registo") e restringe a transmissão de eventos se a proporção de eventos do mesmo tipo para o número total de eventos exceder o limite configurado em percentagem. O Kaspersky Endpoint Security retoma o envio de eventos quando a proporção de outros eventos para o número total de eventos se torna grande o suficiente novamente. A predefinição é 15%. |