Endpoint Detection and Response (KATA)
Kaspersky Endpoint Security für Windows unterstützt die Arbeit mit der Komponente Kaspersky Endpoint Detection and Response als Teil der Lösung Kaspersky Anti Targeted Attack Platform (EDR (KATA)). Die Lösung Kaspersky Anti Targeted Attack Platform dient der rechtzeitigen Erkennung komplexer Bedrohungen. Dazu zählen beispielsweise gezielte Angriffe, hoch entwickelte hartnäckige Bedrohungen (APT, Advanced Persistent Threat) und Zero-Day-Angriffe. Kaspersky Anti Targeted Attack Platform umfasst zwei funktionale Blöcke: Kaspersky Anti Targeted Attack (im Folgenden „KATA“ genannt) und Kaspersky Endpoint Detection and Response (im Folgenden „EDR (KATA)“ genannt). Sie können EDR (KATA) separat erwerben. Einzelheiten über diese Lösung finden Sie in der Hilfe zu „Kaspersky Anti Targeted Attack Platform“.
Kaspersky Endpoint Security wird auf den einzelnen Computern einer IT-Unternehmensinfrastruktur installiert und überwacht kontinuierlich Prozesse, offene Netzwerkverbindungen und geänderte Dateien. Informationen über Ereignisse auf dem Computer (Telemetriedaten) werden an den Kaspersky Anti Targeted Attack Platform-Server gesendet. In diesem Fall sendet Kaspersky Endpoint Security an den Kaspersky Anti Targeted Attack Platform-Server auch Informationen über die von der App erkannten Bedrohungen sowie Informationen über die Verarbeitungsergebnisse dieser Bedrohungen.
Die EDR (KATA)-Integration wird in der Kaspersky Security Center-Konsole konfiguriert. Anschließend wird der integrierte Agent über die Kaspersky Anti Targeted Attack Platform-Konsole verwaltet, was sich beispielsweise auch auf folgende Vorgänge bezieht: Aufgaben ausführen, Objekten in der Quarantäne verwalten und Berichte anzeigen.
Einstellungen für Endpoint Detection and Response (KATA)
Einstellung | Beschreibung |
|---|---|
Einstellungen der Verbindung zu KATA-Servern | Timeout. Maximale Zeitüberschreitung für die Antwort von Central Node. Nach Ablauf des Timeouts versucht Kaspersky Endpoint Security, sich mit einem anderen Central Node-Server zu verbinden. TLS-Serverzertifikat. TLS-Zertifikat zum Herstellen einer vertrauenswürdigen Verbindung mit dem Central Node-Server. Ein TLS-Zertifikat können Sie in der Konsole von Kaspersky Anti Targeted Attack Platform anfordern (siehe Anleitung in der Hilfe zu Kaspersky Anti Targeted Attack Platform). Zwei-Wege-Authentifizierung verwenden. Zwei-Wege-Authentifizierung beim Aufbau einer sicheren Verbindung zwischen Kaspersky Endpoint Security und Central Node. Um die Zwei-Wege-Authentifizierung zu verwenden, müssen Sie die Zwei-Wege-Authentifizierung in den Central Node-Einstellungen aktivieren, dann einen Krypto-Container anfordern und ein Kennwort festlegen, um den Krypto-Container zu schützen. Ein Krypto-Container ist ein PFX-Archiv mit einem Zertifikat und einem privaten Schlüssel. Einen Krypto-Container können Sie in der Konsole von Kaspersky Anti Targeted Attack Platform anfordern (siehe Anleitung in der Hilfe zu Kaspersky Anti Targeted Attack Platform). Nachdem Sie die Central Node-Einstellungen konfiguriert haben, müssen Sie die Zwei-Wege-Authentifizierung in den Einstellungen von Kaspersky Endpoint Security aktivieren und einen kennwortgeschützten Krypto-Container laden. Der Krypto-Container muss kennwortgeschützt sein. Ein Krypto-Container mit einem leeren Passwort kann nicht hinzugefügt werden. |
KATA-Server | Verbindungseinstellungen des zentralen Central Node-Servers. Sie können eine IP-Adresse eingeben (IPv4 oder IPv6). |
Synchronisierungsanfrage an KATA senden alle (Min.) | Häufigkeit der an den Central Node-Server gesendeten Synchronisierungsanfragen. Während der Synchronisierung sendet Kaspersky Endpoint Security Informationen über geänderte Einstellungen und Aufgaben der App. |
Telemetriedaten an KATA senden | Mit dieser Funktion können Sie das Senden von Telemetriedaten an den Server vollständig deaktivieren. Wenn Sie Kaspersky Anti Targeted Attack Platform zusammen mit einer anderen Lösung verwenden, die ebenfalls Telemetrie verwendet, können Sie die Telemetrie für KATA (EDR) deaktivieren. Dadurch lässt sich die Serverlast für diese Lösungen optimieren. Wenn Sie beispielsweise die Managed Detection and Response-Lösung und KATA (EDR) bereitgestellt haben, können Sie MDR-Telemetrie verwenden und Threat Response-Aufgaben in KATA (EDR) erstellen. |
Maximale Verzögerung der Ereignisübertragung (Sek.) | Die App synchronisiert sich mit dem Server, um Ereignisse nach Ablauf des Synchronisierungsintervalls zu senden. Der Standardwert ist 30 Sekunden. |
Anforderungsbegrenzung aktivieren | Durch diese Funktion wird die Auslastung des Computers optimiert. Ist das Kontrollkästchen aktiviert, schränkt die App die übertragenen Ereignisse ein. Wenn die Anzahl der Ereignisse die festgelegten Grenzwerte überschreitet, beendet Kaspersky Endpoint Security das Senden von Ereignissen. |
Maximale Anzahl von Ereignissen pro Stunde | Die App analysiert den Telemetriedatenstrom und schränkt das Senden von Ereignissen ein, wenn der Ereignisstrom das festgelegte Limit für Ereignisse pro Stunde überschreitet. Kaspersky Endpoint Security setzt das Senden von Ereignissen nach einer Stunde fort. Die Standardeinstellung ist 3.000 Ereignisse pro Stunde. |
Prozentsatz für die Überschreitung des Ereignislimits | Die App sortiert Ereignisse nach Typ (z. B. Ereignisse des Typs „Änderungen in der Registrierung“) und schränkt die Übertragung von Ereignissen ein, wenn das Verhältnis von Ereignissen desselben Typs zur Gesamtzahl von Ereignissen den in Prozent festgelegten Grenzwert überschreitet. Kaspersky Endpoint Security setzt das Senden von Ereignissen fort, wenn das Verhältnis der anderen Ereignisse zur Gesamtzahl der Ereignisse wieder dem Grenzwert entspricht. Die Standardeinstellung ist 15%. |