Kaspersky Endpoint Detection and Response (KATA) (im Weiteren auch EDR (KATA)) ist eine Komponente der Kaspersky Anti Targeted Attack Platform, die darauf ausgelegt ist, die IT-Infrastruktur einer Organisation zu schützen und Bedrohungen wie Zero-Day-Angriffe, zielgerichtete Angriffe und Advanced Persistent Threats (im Folgenden auch "APT") rechtzeitig zu erkennen. Weitere Informationen zu der Lösung finden Sie in der Hilfe zur Kaspersky Anti Targeted Attack Platform.
Im Rahmen der Interaktion mit EDR (KATA) kann Kaspersky Endpoint Security die folgenden Funktionen ausführen:
Die Aufgabe "Integration mit Kaspersky Endpoint Detection and Response (KATA)" ermöglicht Ihnen die Integration von Kaspersky Endpoint Security mit der EDR-Komponente (KATA) zu konfigurieren und zu aktivieren. Sie können die Integration von Kaspersky Endpoint Security mit EDR (KATA) auch über die Verwaltungskonsole von Kaspersky Security Center und die Web Console von Kaspersky Security Center verwalten.
Das Verwalten der Einstellungen zur Integration mit EDR (KATA) mittels Kaspersky Security Center Cloud Console wird nicht unterstützt.
Für die Integration mit EDR (KATA) muss die Aufgabe zur Verhaltensanalyse ausgeführt werden.
Die Integration von Kaspersky Endpoint Security mit EDR (KATA) ist nur möglich, wenn diese Aufgabe ausgeführt wird. Andernfalls werden die notwendigen Telemetriedaten nicht übertragen.
Darüber hinaus kann EDR (KATA) auch Daten verwenden, die aus den folgenden Aufgaben stammen:
Während der Integration mit EDR (KATA) stellen Geräte mit Kaspersky Endpoint Security über das HTTPS-Protokoll sichere Verbindungen mit dem KATA-Server her. Um die Sicherheit dieser Verbindung zu gewährleisten, werden die folgenden, vom KATA-Server ausgestellten, Zertifikate verwendet:
Die Zertifikate zur Sicherung der Verbindung zum KATA-Server werden vom Administrator der Kaspersky Anti Targeted Attack Platform bereitgestellt.
Wenn in den allgemeinen Einstellungen von Kaspersky Endpoint Security die Verwendung eines Proxy-Servers konfiguriert ist, wird für die Verbindung zum KATA-Server ein Proxy-Server verwendet.
Im Rahmen der Integration von Kaspersky Endpoint Security mit Kaspersky Anti Targeted Attack Platform kann im systemd-Protokoll eine große Anzahl an Ereignissen eingetragen werden. Wenn Sie das Eintragen der Audit-Ereignisse in systemd deaktivieren wollen, müssen Sie den Socket systemd-journald-audit deaktivieren und das Betriebssystem neu starten.
So deaktivieren Sie den Socket systemd-journald-audit:
systemctl stop systemd-journald-audit.socket
systemctl disable systemd-journald-audit.socket
systemctl mask systemd-journald-audit.socket