Задача Интеграция с Kaspersky Endpoint Detection and Response (KATA) (KATAEDR, ID:24)

Приложение Kaspersky Endpoint Security совместимо с решением Kaspersky Anti Targeted Attack Platform, которое предназначено для защиты IT-инфраструктуры организации и своевременного обнаружения таких угроз, как атаки "нулевого дня", целевые атаки и сложные целевые атаки advanced persistent threats (далее также "APT"). Подробнее о решении см. в справке Kaspersky Anti Targeted Attack Platform.

Kaspersky Endpoint Detection and Response (KATA) (далее также EDR (KATA)) – компонент в составе решения Kaspersky Anti Targeted Attack Platform.

При взаимодействии с EDR (KATA) приложение Kaspersky Endpoint Security может выполнять следующие функции:

• Отправлять данные о событиях на устройствах (телеметрию) на сервер Kaspersky Anti Targeted Attack Platform с компонентом Central Node (далее также сервер KATA). Приложение Kaspersky Endpoint Security передает на сервер KATA данные наблюдения за процессами, открытыми сетевыми соединениями и изменяемыми файлами, а также данные об угрозах, обнаруженных приложением, и данные о результатах обработки этих угроз.
• Выполнять следующие ответные действия, направленные на обеспечение функций безопасности, по командам, полученным от Kaspersky Anti Targeted Attack Platform:
  • Задача Получить файл (Get file task) позволяет получать файлы с устройств пользователей. Например, вы можете настроить получение файла журнала событий, который создает сторонняя программа.
  • Задача Удалить файл (Delete file task) позволяет удаление файла с устройства.
  • Задача Запустить процесс (Run process) позволяет удаленно запускать файлы на устройстве. Например, вы можете удаленно запустить утилиту, которая создает файл с конфигурацией устройства, а затем получить созданный файл с помощью задачи Получить файл.
  • Задача Завершить процесс (Terminate process) позволяет удаленно завершать процессы на устройстве. Например, вы можете удаленно завершить работу утилиты проверки скорости интернета, которая была запущена с помощью задачи запуска процесса.
  • Задача Поиск IOC (IOC Scan task) позволяет обнаруживать индикаторы компрометации на устройстве и выполнять действия по реагированию на угрозы. Индикатор компрометации (англ. Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к устройству (компрометация данных). Для поиска IOC используются IOC-файлы. При выполнении задачи Поиск IOC проверка по IOC-терминам (свойствам IOC-объекта, например, хеш-сумме файла) выполняется только в основном пространстве имен операционной системы. Задача Поиск IOC не вычисляет хеш-суммы файлов размером более 200 МБ.

    Файл, содержащий набор индикаторов IOC, при совпадении с которыми приложение считает событие обнаружением. Вероятность обнаружения может повыситься, если в результате проверки были найдены точные совпадения данных об объекте с несколькими IOC-файлами.

  • Сетевая изоляция устройства позволяет изолировать устройства от сети. Вы можете выключить сетевую изоляцию устройства в случае потери связи с сервером KATA после включения сетевой изоляции.

Ограничения сетевой изоляции

При использовании сетевой изоляции настроятельно рекомендуется ознакомиться с ограничениями, описанными ниже.

Для работоспособности сетевой изоляции требуется, чтобы приложение Kaspersky Endpoint Security было запущено. Во время сбоя в работе приложения Kaspersky Endpoint Security (когда приложение не запущено), блокировка трафика при включении сетевой изоляции решением Kaspersky Anti Targeted Attack Platform не гарантируется.

Транзитный трафик при включенной сетевой изоляции поддерживается с ограничениями и может фильтроваться.

DHCP и DNS в исключения из сетевой изоляции автоматически не добавляются, поэтому если сетевой адрес какого-то ресурса был изменен во время сетевой изоляции, приложение Kaspersky Endpoint Security не сможет получить к нему доступ. Это же относится к узлам отказоустойчивого сервера KATA. Не рекомендуется менять их адреса, чтобы приложение Kaspersky Endpoint Security не потеряло с ними связь.

Прокси-сервер также в исключения из сетевой изоляции автоматически не добавляется, поэтому требуется добавить его в исключения вручную, чтобы приложение Kaspersky Endpoint Security не потеряло связь с сервером KATA.

Добавление процесса в сетевую изоляцию и исключение процесса из сетевой изоляции по имени не поддерживается.

При использовании сетевой изоляции рекомендуется использовать прокси-сервер KSN для взаимодействия с Kaspersky Security Network, использовать Kaspersky Security Center в качестве прокси-сервера для активации приложения и указать Kaspersky Security Center в качестве источника обновлений баз. В случае невозможности использования Kaspersky Security Center в качестве прокси-сервера, настройте параметры нужного прокси-сервера и добавьте его в исключения.

Условия интеграции

Задача Интеграция с Kaspersky Endpoint Detection and Response (KATA) позволяет настроить и включить интеграцию приложения Kaspersky Endpoint Security с компонентом EDR (KATA). Вы также можете управлять интеграцией приложения Kaspersky Endpoint Security с EDR (KATA) с помощью Консоли администрирования Kaspersky Security Center и Kaspersky Security Center Web Console.

Управление параметрами интеграции с EDR (KATA) через Kaspersky Security Center Cloud Console не поддерживается.

Для интеграции с EDR (KATA) должна быть запущена задача Анализ поведения.

Интеграция приложения Kaspersky Endpoint Security с EDR (KATA) возможна, только если задача Анализ поведения запущена. В противном случае необходимые данные телеметрии не передаются.

Для работы исключений из телеметрии требуется, чтобы интеграция приложения Kaspersky Endpoint Security с решением Kaspersky Managed Detection and Response была выключена. Если интеграция приложения Kaspersky Endpoint Security с решением Kaspersky Managed Detection and Response включена, исключения по процессам не применяются.

Дополнительно EDR (KATA) может использовать данные, полученные от следующих задач:

• Защита от файловых угроз.
• Защита от сетевых угроз.
• Защита от веб-угроз.

Безопасность соединения

Во время интеграции с EDR (KATA), устройства с Kaspersky Endpoint Security устанавливают защищенные соединения с сервером KATA по протоколу HTTPS. Для обеспечения безопасности соединения используются следующие сертификаты, выданные cервером KATA:

• Сертификат сервера KATA. Соединение шифруется с помощью TLS-сертификата сервера. Вы можете повысить уровень безопасности соединения, включив проверку сертификата сервера на стороне Kaspersky Endpoint Security. Для этого вам нужно добавить сертификат сервера интеграции перед запуском задачи Интеграция с Kaspersky Endpoint Detection and Response (KATA).
• Сертификат клиента. Этот сертификат используется для дополнительной защиты подключения с помощью двусторонней аутентификации (проверки устройств с Kaspersky Endpoint Security сервером KATA). Один и тот же сертификат клиента может использоваться несколькими устройствами. По умолчанию сервер KATA не выполняет проверку сертификатов клиентов, но двусторонняя аутентификация может быть включена на стороне Kaspersky Anti Targeted Attack Platform. В этом случае вам нужно включить двустороннюю аутентификацию в параметрах задачи Интеграция с Kaspersky Endpoint Detection and Response (KATA) и добавить сертификат клиента (криптоконтейнер с сертификатом и закрытым ключом).

Сертификаты для защиты соединения с сервером KATA предоставляет администратор Kaspersky Anti Targeted Attack Platform.

Для подключения к серверу KATA используется прокси-сервер, если использование прокси-сервера настроено в общих параметрах приложения Kaspersky Endpoint Security.

Запись событий

При интеграции приложения Kaspersky Endpoint Security с решением Kaspersky Anti Targeted Attack Platform в журнал systemd может записываться большое количество событий. Если вы хотите отключить запись событий аудита в systemd, вам нужно отключить сокет systemd-journald-audit и перезагрузить операционную систему.

Чтобы отключить сокет systemd-journald-audit, выполните следующие команды:

systemctl stop systemd-journald-audit.socket

systemctl disable systemd-journald-audit.socket

systemctl mask systemd-journald-audit.socket

В этом разделе справки Параметры задачи Интеграция с Kaspersky Endpoint Detection and Response (KATA) Управление сертификатами для подключения к серверам KATA

В начало