Integration mit Kaspersky Managed Detection and Response (KATA)
3. Juli 2024
ID 246827
Kaspersky Endpoint Detection and Response (KATA) (im Weiteren auch EDR (KATA)) ist eine Komponente der Kaspersky Anti Targeted Attack Platform, die darauf ausgelegt ist, die IT-Infrastruktur einer Organisation zu schützen und Bedrohungen wie Zero-Day-Angriffe, zielgerichtete Angriffe und Advanced Persistent Threats (im Folgenden auch "APT") rechtzeitig zu erkennen. Weitere Informationen zu der Lösung finden Sie in der Hilfe zu Kaspersky Anti Targeted Attack Platform.
Im Rahmen der Interaktion mit EDR (KATA) kann Kaspersky Endpoint Security Daten über Ereignisse auf Geräten (Telemetriedaten) an den Server von Kaspersky Anti Targeted Attack Platform mit der Komponente Central Node (im Folgenden auch "KATA-Server") übertragen und empfangene Aufgaben von Kaspersky Anti Targeted Platform ausführen, um die Sicherheitsfunktionen sicherzustellen.
Diese Funktionalität wird im KESL-Container nicht unterstützt.
Das Verwalten der Einstellungen zur Integration mit EDR (KATA) mittels Kaspersky Security Center Cloud Console wird nicht unterstützt.
Für die Integration mit EDR (KATA) muss die Aufgabe zur Verhaltensanalyse aktiviert werden.
Die Integration von Kaspersky Endpoint Security mit EDR (KATA) ist nur möglich, wenn diese Komponente aktiviert ist. Andernfalls werden die notwendigen Telemetriedaten nicht übertragen.
Zusätzlich kann EDR (KATA) Daten verwenden, die von den folgenden Komponenten empfangen werden:
- Schutz vor bedrohlichen Dateien.
- Schutz vor Netzwerkbedrohungen.
- Schutz vor Web-Bedrohungen.
Während der Integration mit EDR (KATA) stellen Geräte mit Kaspersky Endpoint Security über das HTTPS-Protokoll sichere Verbindungen mit dem KATA-Server her. Um die Sicherheit dieser Verbindung zu gewährleisten, werden die folgenden, vom KATA-Server ausgestellten, Zertifikate verwendet:
- Zertifikat des KATA-Servers. Die Verbindung wird mit dem TLS-Zertifikat des Servers verschlüsselt. Sie können die Sicherheit der Verbindung erhöhen, indem Sie in Kaspersky Endpoint Security die Überprüfung des Serverzertifikats aktivieren. Dafür müssen Sie müssen Sie während der Konfiguration der Integrationseinstellungen das Serverzertifikat hinzufügen.
- Client-Zertifikat. Dieses Zertifikat dient dem zusätzlichen Schutz der Verbindung durch Zwei-Wege-Authentifizierung (Überprüfung der Geräte mit dem KATA-Server von Kaspersky Endpoint Security). Mehrere Geräten können dasselbe Client-Zertifikat verwenden. Standardmäßig überprüft der KATA-Server keine Client-Zertifikate, aber die Prüfung kann auf der Seite des KATA-Servers aktiviert werden. In diesem Fall müssen Sie in den Integrationseinstellungen die Zwei-Wege-Authentifizierung aktivieren und ein Client-Zertifikat hinzufügen (ein Crypto-Container mit einem Zertifikat und einem privaten Schlüssel).
Die Zertifikate zur Sicherung der Verbindung zum KATA-Server werden vom Administrator der Kaspersky Anti Targeted Attack Platform bereitgestellt.
Wenn in den allgemeinen Einstellungen von Kaspersky Endpoint Security die Verwendung eines Proxy-Servers konfiguriert ist, wird für die Verbindung zum KATA-Server wird ein Proxy-Server verwendet.
Integrationseinstellungen mit Kaspersky Endpoint Detection and Response (KATA)
Einstellung | Beschreibung |
---|---|
Integration mit Endpoint Detection and Response (KATA) aktiviert/deaktiviert | Aktiviert oder deaktiviert die Integration von Kaspersky Endpoint Security mit EDR (KATA). Die Integration ist standardmäßig deaktiviert. |
Einstellungen für die Verbindung mit dem Server | Wenn Sie in diesem Abschnitt auf den Link Konfigurieren klicken, wird ein Fenster geöffnet, in dem Sie bei Verbindung mit den KATA-Servern die allgemeinen Einstellungen für die Verbindung mit den KATA-Servern konfigurieren, ein Serverzertifikat hinzufügen und die Zwei-Wege-Authentifizierung konfigurieren können. |
KATA-Server | Die Tabelle enthält eine Liste der KATA-Server, mit denen eine Verbindung konfiguriert ist. Durch Klicken auf die Schaltfläche Hinzufügen öffnet sich ein Fenster, in dem Sie die Verbindung zu einem KATA-Server konfigurieren können. Mit den Schaltflächen oberhalb der Tabelle können Sie bereits konfigurierte Verbindungseinstellungen ändern und löschen. |
Maximale Verzögerung beim Versenden von Ereignissen (Sek.) | Maximale Verzögerung beim Senden von Ereignissen an den KATA-Server in Sekunden. Der Standardwert ist |
Begrenzung für die Anzahl an Ereignissen aktivieren | Aktiviert oder deaktiviert die Beschränkung der Anzahl an Ereignissen, die an den KATA-Server gesendetet werden. |
Maximale Anzahl an Ereignissen pro Stunde | Die maximale Anzahl an Ereignissen innerhalb einer Stunde. Der Standardwert ist |
Maximale Anzahl an Ereignissen eines Typs in Prozent | Maximale Anzahl an Ereignissen eines Typs in Prozent. Die Übertragung von Ereignissen wird begrenzt, wenn das Verhältnis von Ereignissen des gleichen Typs (z. B. Änderung der Registrierung) zur Gesamtzahl der Ereignisse die prozentuale Grenze überschreitet. Der Standardwert ist |