Integration mit Detection and Response
Die Lösungen Detection and Response von Kaspersky sind Sicherheitssysteme, die darauf ausgelegt sind, komplexe Bedrohungen und Anzeichen von Angriffen auf verschiedenen Ebenen der Infrastruktur eines Unternehmens zu erkennen. Die Lösungen Detection and Response liefern Ihnen Informationen über erkannte Bedrohungen und ermöglichen Ihnen, Reaktionsmaßnahmen zu verwalten.
Kaspersky Endpoint Security kann mit den folgenden Lösungen Detection and Response von Kaspersky interagieren:
- Kaspersky Anti Targeted Attack Platform (Komponente von Kaspersky Endpoint Detection and Response). Die Integration mit Kaspersky Endpoint Detection and Response (KATA) erfolgt durch Kaspersky Endpoint Security – Endpoint Detection and Response (KATA) (im Weiteren auch "EDR (KATA)").
- Kaspersky Endpoint Detection and Response Optimum. Die Integration erfolgt durch Endpoint Detection and Response Optimum (im Weiteren auch "EDR Optimum").
- Managed Detection and Response. Die Integration erfolgt durch Kaspersky Endpoint Security – Managed Detection and Response (im Weiteren auch "MDR").
Im Rahmen der Integration von Kaspersky Endpoint Security mit den Lösungen Kaspersky Managed Detection and Response und Kaspersky Anti Targeted Attack Platform kann im systemd-Protokoll eine große Anzahl an Ereignissen eingetragen werden. Wenn Sie das Eintragen der Audit-Ereignisse in systemd deaktivieren wollen, müssen Sie den Socket systemd-journald-audit deaktivieren und das Betriebssystem neu starten.
So deaktivieren Sie den Socket systemd-journald-audit:
systemctl stop systemd-journald-audit.socket
systemctl disable systemd-journald-audit.socket
systemctl mask systemd-journald-audit.socket
Die Konfiguration des Dienstes "auditd" ist auf dem Betriebssystem SintezM-Client standardmäßig gegen Änderungen gesperrt, d. h. sie befindet sich im Ausführungsmodus enabled 2
. Damit die Komponente "Verhaltensanalyse" bei einer Integration von Kaspersky Endpoint Security mit Kaspersky Managed Detection and Response und Kaspersky Anti Targeted Attack Platform ordnungsgemäß funktioniert, müssen Sie in den Konfigurationsdateien den Ausführungsmodus von auditd in den Modus ohne Sperrung der Konfiguration (d. h. enabled 1
) ändern und anschließend einen Neustart des Betriebssystems durchführen.