Integration mit Kaspersky Anti Targeted Attack Platform

Kaspersky Endpoint Security unterstützt die Kaspersky Anti Targeted Attack Platform, die darauf ausgelegt ist, die IT-Infrastruktur einer Organisation zu schützen und Bedrohungen wie Zero-Day-Angriffe, zielgerichtete Angriffe und Advanced Persistent Threats (im Folgenden auch "APT") rechtzeitig zu erkennen. Weitere Informationen zu der Lösung finden Sie in der Hilfe zu Kaspersky Anti Targeted Attack Platform.

Die Anwendung Kaspersky Endpoint Security kann mit den folgenden Komponenten integriert werden, die Teil der Kaspersky Anti Targeted Attack Platform-Lösung sind:

• Kaspersky Endpoint Detection and Response (KATA) bietet Schutz für Geräte im lokalen Netzwerk eines Unternehmens. Im Rahmen der Interaktion mit Kaspersky Endpoint Detection and Response (KATA) kann Kaspersky Endpoint Security die folgenden Funktionen ausführen:
  • Übertragen von Daten über Ereignisse auf Geräten (Telemetriedaten) an den Server von Kaspersky Anti Targeted Attack Platform mit der Komponente Central Node (im Folgenden auch "KATA-Server"). Kaspersky Endpoint Security sendet neben Überwachungsdaten zu Prozessen, offenen Netzwerkverbindungen und geänderten Dateien auch Daten zu den von der Anwendung erkannten Bedrohungen und zu den Verarbeitungsergebnissen dieser Bedrohungen an den KATA-Server.
  • Ausführen von Reaktionsmaßnahmen, um die Sicherheitsfunktionen mittels der Befehle sicherzustellen, die von Kaspersky Anti Targeted Attack Platform übertragen wurden.
• Kaspersky Network Detection and Response (KATA) schützt das interne Netzwerk des Unternehmens und sendet Daten über Ereignisse auf Geräten (Telemetrie) an den Kaspersky Anti Targeted Attack Platform-Server mit der Central Node-Komponente (im Folgenden auch "NDR-Server" genannt).
• KATA Sandbox analysiert und untersucht Objekte, um bösartige Aktivitäten und Anzeichen gezielter Angriffe auf die IT-Infrastruktur eines Unternehmens zu identifizieren. Analyse und Untersuchung erfolgen auf speziellen Servern, auf denen virtuelle Betriebssystem-Images bereitgestellt werden (im Folgenden auch "Sandbox-Server" genannt).

Die Integration mit diesen Komponenten der Lösung Kaspersky Endpoint Detection and Response (KATA) wird durch die folgenden Komponenten der Anwendung Kaspersky Endpoint Security gewährleistet:

• Endpoint Detection and Response (KATA) (im Folgenden auch "EDR (KATA)" genannt)
• Network Detection and Response (KATA) (im Folgenden auch "NDR (KATA)" genannt)
• Sandbox

Sie können die Integration der Anwendung Kaspersky Endpoint Security entweder mit allen Komponenten der Kaspersky Anti Targeted Attack Platform-Lösung oder mit jeder Komponente separat konfigurieren.

Für die Integration der Komponenten von "Kaspersky Anti Targeted Attack Platform" ist die Aktivierung der Lösung "Kaspersky Anti Targeted Attack Platform" erforderlich (Details s. Hilfe zur Lösung). Die Komponenten der Anwendung "Kaspersky Endpoint Security", welche die Integration gewährleisten, müssen nicht aktiviert werden. Diese Funktionalität wird von den Hauptlizenzen von Kaspersky Endpoint Security abgedeckt.

Die Integration von Kaspersky Endpoint Security mit Kaspersky Anti Targeted Attack Platform ist nur möglich, wenn die Komponente "Verhaltensanalyse" aktiviert ist. Andernfalls werden die notwendigen Telemetriedaten nicht übertragen (außer für Synchronisationsanfragen).

Die Komponente Kaspersky Endpoint Detection and Response (KATA) kann zusätzlich Daten verwenden, die von den folgenden Komponenten abgerufen werden:

• Schutz vor bedrohlichen Dateien.
• Schutz vor Netzwerkbedrohungen.
• Schutz vor Web-Bedrohungen.

Die Komponente Kaspersky Network Detection and Response (KATA) kann zusätzlich Daten verwenden, die von den folgenden Komponenten abgerufen werden:

• Schutz vor bedrohlichen Dateien.
• Schutz vor Netzwerkbedrohungen.
• Schutz vor Web-Bedrohungen.
• Schutz vor Verschlüsselung.
• Programmkontrolle.
• Gerätekontrolle.
• Überwachung der System-Integrität.

Während der Integration mit der Kaspersky Anti Targeted Attack Platform-Lösung stellen Geräte, auf denen Kaspersky Endpoint Security ausgeführt wird, über das HTTPS-Protokoll verschlüsselte Verbindungen mit dem KATA/NDR/Sandbox-Server her. Um die Sicherheit der Verbindung zu gewährleisten, werden die folgenden vom KATA/NDR/Sandbox-Server ausgestellten Zertifikate verwendet:

• Zertifikat des KATA/NDR/Sandbox-Servers. Die Verbindung wird mit dem TLS-Zertifikat des Servers verschlüsselt. Sie können die Sicherheit der Verbindung erhöhen, indem Sie in Kaspersky Endpoint Security die Überprüfung des Serverzertifikats aktivieren. Dazu müssen Sie das Zertifikat des KATA/NDR/Sandbox-Servers hinzufügen, bevor Sie die Integration mit der Kaspersky Anti Targeted Attack Platform-Lösung aktivieren.
• Client-Zertifikat. Dieses Zertifikat dient dem zusätzlichen Schutz der Verbindung durch die Zwei-Wege-Authentifizierung (bei der Überprüfung der Geräte mit installiertem Kaspersky Endpoint Security durch den KATA/NDR/Sandbox-Server). Mehrere Geräte können dasselbe Client-Zertifikat verwenden. Standardmäßig überprüft der KATA/NDR/Sandbox-Server keine Client-Zertifikate, die Zwei-Wege-Authentifizierung kann jedoch auf der Seite von Kaspersky Anti Targeted Attack Platform aktiviert werden. In diesem Fall müssen Sie die Zwei-Wege-Authentifizierung in den Einstellungen für die Integration mit der Komponente Kaspersky Endpoint Detection and Response (KATA), Kaspersky Network Detection and Response (KATA) oder KATA Sandbox aktivieren und ein Client-Zertifikat hinzufügen (ein Crypto-Container mit einem Zertifikat und einem privaten Schlüssel).

Die Zertifikate für den Schutz der Verbindung zum KATA/NDR/Sandbox-Server werden vom Administrator der Kaspersky Anti Targeted Attack Platform bereitgestellt.

Wenn in den allgemeinen Anwendungseinstellungen von Kaspersky Endpoint Security die Verwendung eines Proxyservers konfiguriert ist, wird für die Verbindung zum KATA/NDR/Sandbox-Server ein Proxyserver verwendet.

Die Integration mit den Komponenten der Lösung Kaspersky Anti Targeted Attack Platform ist standardmäßig deaktiviert. Sie können die Integration aktivieren und deaktivieren und die folgenden Einstellungen für die Integration über die Befehlszeile, in der Web Console und mithilfe der Verwaltungskonsole konfigurieren:

• Die allgemeinen Einstellungen für die Verbindung mit KATA/NDR/Sandbox-Servern konfigurieren.
• Zertifikate der KATA/NDR/Sandbox-Server hinzufügen oder entfernen.
• Die Zwei-Wege-Authentifizierung beim Herstellen einer Verbindung mit den KATA/NDR/Sandbox-Servern konfigurieren und Client-Zertifikate hinzufügen.
• Konfigurieren Sie die Einstellungen zum Senden von Ereignissen.
• Das Senden von Telemetriedaten (nur bei Integration mit Kaspersky Endpoint Detection and Response (KATA)) aktivieren oder deaktivieren.

  Wenn die Integration von Kaspersky Endpoint Security mit Kaspersky Managed Detection and Response aktiviert ist, werden beim Senden von Telemetriedaten keine Ausschlüsse nach Prozess angewendet.

Die Verwaltung der Einstellungen für die Integration mit Kaspersky Anti Targeted Attack Platform über Kaspersky Security Center Cloud Console wird nicht unterstützt.

In diesem Abschnitt EDR (KATA) / NDR (KATA) in Web Console konfigurieren EDR (KATA) / NDR (KATA) in der Verwaltungskonsole konfigurieren EDR (KATA) / NDR (KATA) über die Befehlszeile konfigurieren Integration mit KATA Sandbox in Web Console konfigurieren Integration mit KATA Sandbox über die Befehlszeile konfigurieren

Nach oben