Integration mit Kaspersky Managed Detection and Response (KATA)

Endpoint Detection and Response (KATA) ist eine Komponente der Kaspersky Anti Targeted Attack Platform. Die Integration mit Kaspersky Endpoint Detection and Response (KATA) erfolgt durch Kaspersky Endpoint Security – Endpoint Detection and Response (KATA) (im Weiteren auch "EDR (KATA)").

Kaspersky Endpoint Security unterstützt die Kaspersky Anti Targeted Attack Platform, die darauf ausgelegt ist, die IT-Infrastruktur einer Organisation zu schützen und Bedrohungen wie Zero-Day-Angriffe, zielgerichtete Angriffe und Advanced Persistent Threats (im Folgenden auch "APT") rechtzeitig zu erkennen. Weitere Informationen zu der Lösung finden Sie in der Hilfe zu Kaspersky Anti Targeted Attack Platform.

Diese Funktionalität wird im KESL-Container nicht unterstützt.

Im Rahmen der Interaktion mit Kaspersky Endpoint Detection and Response (KATA) kann Kaspersky Endpoint Security die folgenden Funktionen ausführen:

• Übertragen von Daten über Ereignisse auf Geräten (Telemetriedaten) an den Server von Kaspersky Anti Targeted Attack Platform mit der Komponente Central Node (im Folgenden auch "KATA-Server"). Kaspersky Endpoint Security sendet neben Überwachungsdaten zu Prozessen, offenen Netzwerkverbindungen und geänderten Dateien auch Daten zu den von der App erkannten Bedrohungen und zu den Verarbeitungsergebnissen dieser Bedrohungen an den KATA-Server.
• Ausführen von Reaktionsmaßnahmen, um die Sicherheitsfunktionen mittels der Befehle sicherzustellen, die von Kaspersky Anti Targeted Attack Platform übertragen wurden.

Für eine Integration mit Kaspersky Endpoint Detection and Response (KATA) muss die Komponente Verhaltensanalyse aktiviert sein.

Die Integration von Kaspersky Endpoint Security mit Kaspersky Endpoint Detection and Response (KATA) ist nur bei aktivierter Komponente "Verhaltensanalyse" möglich. Andernfalls werden die notwendigen Telemetriedaten nicht übertragen.

Darüber hinaus kann Kaspersky Endpoint Detection and Response (KATA) Daten verwenden, die es von den folgenden Komponenten abruft:

• Schutz vor bedrohlichen Dateien.
• Schutz vor Netzwerkbedrohungen.
• Schutz vor Web-Bedrohungen.

Während der Integration mit Kaspersky Endpoint Detection and Response (KATA) stellen Geräte mit Kaspersky Endpoint Security über das HTTPS-Protokoll sichere Verbindungen mit dem KATA-Server her. Um die Sicherheit dieser Verbindung zu gewährleisten, werden die folgenden, vom KATA-Server ausgestellten, Zertifikate verwendet:

• Zertifikat des KATA-Servers. Die Verbindung wird mit dem TLS-Zertifikat des Servers verschlüsselt. Sie können die Sicherheit der Verbindung erhöhen, indem Sie in Kaspersky Endpoint Security die Überprüfung des Serverzertifikats aktivieren. Dafür müssen Sie vor dem Aktivieren der Integration mit Kaspersky Endpoint Detection and Response (KATA) das Zertifikat des Integrationsservers hinzufügen.
• Client-Zertifikat. Dieses Zertifikat dient dem zusätzlichen Schutz der Verbindung durch Zwei-Wege-Authentifizierung (Überprüfung der Geräte mit dem KATA-Server von Kaspersky Endpoint Security). Mehrere Geräte können dasselbe Client-Zertifikat verwenden. Standardmäßig überprüft der KATA-Server keine Client-Zertifikate, aber die Zwei-Wege-Authentifizierung kann auf der Seite von Kaspersky Anti Targeted Attack Platform aktiviert werden. In diesem Fall müssen Sie die Zwei-Wege-Authentifizierung in den Einstellungen für die Integration mit Kaspersky Endpoint Detection and Response (KATA) aktivieren und ein Client-Zertifikat hinzufügen (ein Crypto-Container mit einem Zertifikat und einem privaten Schlüssel).

Die Zertifikate zur Sicherung der Verbindung zum KATA-Server werden vom Administrator der Kaspersky Anti Targeted Attack Platform bereitgestellt.

Wenn in den allgemeinen Einstellungen von Kaspersky Endpoint Security die Verwendung eines Proxy-Servers konfiguriert ist, wird für die Verbindung zum KATA-Server ein Proxy-Server verwendet.

Standardmäßig ist die Integration mit Kaspersky Endpoint Detection and Response (KATA) deaktiviert. Sie können die Integration aktivieren und deaktivieren und die folgenden Einstellungen für die Integration über die Befehlszeile, in der Web Console und mithilfe der Verwaltungskonsole konfigurieren:

• Konfigurieren Sie allgemeine Einstellungen für die Verbindung mit den KATA-Servern.
• Fügen Sie Zertifikate der KATA-Server hinzu und entfernen Sie sie.
• Konfigurieren Sie die Zwei-Wege-Authentifizierung beim Herstellen einer Verbindung mit den KATA-Servern und fügen Sie Client-Zertifikate hinzu.
• Konfigurieren Sie die Einstellungen zum Senden von Ereignissen.
• Aktivieren und deaktivieren Sie das Senden von Telemetriedaten.

  Wenn die Integration von Kaspersky Endpoint Security mit Kaspersky Managed Detection and Response aktiviert ist, werden beim Senden von Telemetriedaten keine Ausschlüsse nach Prozess angewendet.

Das Verwalten der Einstellungen für die Integration mit Kaspersky Endpoint Detection and Response (KATA) über die Kaspersky Security Center Cloud Console wird nicht unterstützt.