Endpoint Detection and Response (KATA)
Aplikace Kaspersky Endpoint Security pro systém Windows podporuje fungování se součásti Kaspersky Endpoint Detection and Response jako součásti řešení Kaspersky Anti Targeted Attack Platform (EDR (KATA)). Platforma Kaspersky Anti Targeted Attack Platform je řešení navržené pro včasnou detekci sofistikovaných hrozeb, jako jsou cílené útoky, pokročilé perzistentní hrozby (APT), útoky nultého dne a další. Platforma Kaspersky Anti Targeted Attack Platform zahrnuje dva funkční bloky: Kaspersky Anti Targeted Attack (dále také „KATA“) a Kaspersky Endpoint Detection and Response (dále také „EDR (KATA)“). EDR (KATA) si můžete zakoupit samostatně. Podrobnosti o tomto řešení najdete v nápovědě k platformě Kaspersky Anti Targeted Attack Platform.
Aplikace Kaspersky Endpoint Security se instaluje na jednotlivé počítače v podnikové IT infrastruktuře a nepřetržitě sleduje procesy, otevřená síťová připojení a upravované soubory. Informace o událostech v počítači (telemetrická data) jsou odesílány na server Kaspersky Anti Targeted Attack Platform. V tomto případě aplikace Kaspersky Endpoint Security také odešle na server Kaspersky Anti Targeted Attack Platform informace o hrozbách objevených aplikací a také informace o výsledcích zpracování těchto hrozeb.
Integrace EDR (KATA) se konfiguruje v konzole aplikace Kaspersky Security Center. Integrovaný agent je pak spravován pomocí konzoly Kaspersky Anti Targeted Attack Platform, včetně spouštění úloh, správy objektů v karanténě, prohlížení zpráv a dalších akcí.
Nastavení součásti Endpoint Detection and Response (KATA)
Parametr | Popis |
|---|---|
Settings for connecting to KATA servers | Timeout. Maximální časový limit odpovědi serveru Central Node. Když časový limit vyprší, Kaspersky Endpoint Security se pokusí připojit k jinému serveru Central Node. Server TLS certificate. Certifikát TLS pro navázání důvěryhodného spojení se serverem Central Node. Certifikát TLS můžete získat v konzole součásti Kaspersky Anti Targeted Attack Platform (viz pokyny v nápovědě k součásti Kaspersky Anti Targeted Attack Platform). Use two-way authentication. Obousměrné ověřování při navazování zabezpečeného připojení mezi aplikací Kaspersky Endpoint Security a součástí Central Node. Chcete-li použít obousměrné ověřování, musíte je povolit v nastavení součásti Central Node, poté si pořídit kryptokontejner a nastavit heslo pro jeho ochranu. Kryptokontejner je PFX archiv s certifikátem a soukromým klíčem. Kryptokontejner můžete získat v konzole součásti Kaspersky Anti Targeted Attack Platform (viz pokyny v nápovědě k součásti Kaspersky Anti Targeted Attack Platform). Po konfiguraci nastavení součásti Central Node musíte také povolit obousměrné ověřování v nastavení aplikace Kaspersky Endpoint Security a načíst šifrovací kontejner chráněný heslem. Kryptokontejner musí být chráněn heslem. Není možné přidat kryptokontejner s prázdným heslem. |
KATA servers | Nastavení připojení k serveru součásti Central Node. Můžete zadat IP adresu (IPv4 nebo IPv6). |
Send sync request to KATA server every (min) | Frekvence požadavků na synchronizaci odesílaných na server součásti Central Node. Během synchronizace Kaspersky Endpoint Security odesílá informace o změněných nastaveních aplikací a úlohách. |
Send telemetry to KATA | Tato funkce umožňuje zcela vypnout odesílání telemetrických údajů na server. Pokud používáte Kaspersky Anti Targeted Attack Platform spolu s jiným řešením, které také využívá telemetrii, můžete telemetrii pro KATA (EDR) vypnout. To vám umožní optimalizovat zatížení serveru pro tato řešení. Pokud máte například nasazené řešení Managed Detection and Response a součást KATA (EDR), můžete použít telemetrii MDR a vytvářet úlohy Reakce na hrozby v KATA (EDR). |
Maximum events transmission delay (sec) | Aplikace se synchronizuje se serverem a odesílá události po uplynutí intervalu synchronizace. Výchozí hodnota je 30 sekund. |
Enable request throttling | Tato funkce pomáhá optimalizovat zátěž serveru. Pokud je políčko zaškrtnuto, aplikace omezí přenášené události. Pokud počet událostí překročí nakonfigurované limity, aplikace Kaspersky Endpoint Security přestane odesílat události. |
Maximum number of events per hour | Aplikace analyzuje tok telemetrických dat a omezí odesílání událostí, pokud tok událostí překročí nakonfigurovaný limit událostí za hodinu. Kaspersky Endpoint Security obnoví odesílání událostí po hodině. Výchozí nastavení je 3000 událostí za hodinu. |
Percentage of event limit excess | Aplikace třídí události podle typu (například události „změny registru“) a omezuje přenos událostí, pokud poměr událostí stejného typu k celkovému počtu událostí překročí nakonfigurovaný limit v procentech. Kaspersky Endpoint Security obnoví odesílání událostí, když poměr ostatních událostí k celkovému počtu událostí bude opět dostatečně velký. Výchozí nastavení je 15 %. |