Endpoint Detection and Response Expert (on-premise)

для Windows, macOS и Linux

Endpoint Detection and Response Expert (версия 7.1 и ниже)

Kaspersky Endpoint Security поддерживает работу с компонентом Kaspersky Endpoint Detection and Response Expert (версия 7.1 и ниже, далее также – "EDR (KATA)") в составе решения Kaspersky Anti Targeted Attack Platform. Kaspersky Anti Targeted Attack Platform – решение, предназначенное для своевременного обнаружения сложных угроз, таких как целевые атаки, сложные постоянные угрозы (англ. Advanced Persistent Threat, APT), атаки "нулевого дня" и другие. Kaspersky Anti Targeted Attack Platform включает в себя три функциональных блока:

Kaspersky Anti Targeted Attack (далее также "KATA");
Kaspersky Endpoint Detection and Response (далее также "EDR (KATA)");
Network Detection and Response (далее также "NDR (KATA)").

Вы можете приобрести все функциональные блоки или приобрести функциональные блоки по отдельности. Подробнее о решении см. в справке Kaspersky Anti Targeted Attack Platform.

Приложение Kaspersky Endpoint Security устанавливается на отдельных компьютерах, входящих в IT-инфраструктуру организации, и осуществляет постоянное наблюдение за процессами, открытыми сетевыми соединениями и изменяемыми файлами. Данные о событиях на компьютере (телеметрия) отправляются на сервер Kaspersky Anti Targeted Attack Platform. Приложение Kaspersky Endpoint Security также передает на сервер Kaspersky Anti Targeted Attack Platform данные об угрозах, обнаруженных приложением, и данные о результатах обработки этих угроз.

Настройка интеграции с EDR (KATA) и NDR (KATA) выполняется в консоли Kaspersky Security Center. Дальнейшее управление встроенным агентом осуществляется в консоли Kaspersky Anti Targeted Attack Platform, включая запуск задач, управление объектами на карантине, просмотр отчетов и другие действия.

Endpoint Detection and Response Expert (версия 8.0 и выше)

Kaspersky Endpoint Security поддерживает работу с решениями класса Endpoint Detection and Response Expert (версия 8.0 и выше, далее также "EDR Expert (on-premise)") от "Лаборатории Касперского". К таким решениям относится, например, Kaspersky Symphony XDR. Endpoint Detection and Response Expert (on-premise) – решения для обеспечения кибербезопасности, с помощью которых организация получает возможность защититься от большинства киберрисков и покрыть основные сценарии распространения угроз.

На основании журналов и телеметрии, полученных от инфраструктуры организации, EDR Expert (on-premise) автоматически выявляет атаки и позволяет проводить расследование инцидентов с помощью единого графа расследования, который комбинирует все собираемые в EDR Expert (on-premise) события – как от приложений "Лаборатории Касперского", так и от сторонних ИБ-продуктов.

Компоненты, необходимые для работы Endpoint Detection and Response Expert

Для работы Endpoint Detection and Response Expert должны быть включены следующие компоненты:

Список компонентов может отличаться для разных платформ.

Настройки компонента Endpoint Detection and Response Expert (on-premise)

Настройка	ОС	Описание
Решение Endpoint Detection and Response Expert	`Windows` `macOS` `Linux`	Решения Endpoint Detection and Response Expert, с которым интегрируется Kaspersky Endpoint Security. Endpoint Detection and Response Expert (версия 7.1 и ниже). Endpoint Detection and Response Expert (версия 8.0 и выше).
Настройки подключения к серверам KATA / серверам сбора телеметрии	`Windows` `macOS` `Linux`	Настройте следующие параметры для подключения к серверу KATA или к серверу сбора телеметрии: Время ожидания соединения с сервером. Максимальное время ожидания ответа от сервера Central Node. По истечению времени ожидания Kaspersky Endpoint Security пытается подключиться к другому серверу Central Node. Сертификат сервера. TLS-сертификат для установки доверенного соединения с сервером Central Node. Вы можете получить TLS-сертификат в консоли Kaspersky Anti Targeted Attack Platform (см. инструкцию в справке Kaspersky Anti Targeted Attack Platform). Использовать двустороннюю аутентификацию. Двусторонняя аутентификация при установлении безопасного соединения между Kaspersky Endpoint Security и сервером Central Node. Для использования двусторонней аутентификации вам нужно в параметрах сервера Central Node включить функцию двусторонней аутентификации, далее получить криптоконтейнер и установить пароль для защиты криптоконтейнера. Криптоконтейнер – PFX-архив с сертификатом и закрытым ключом агента. Вы можете получить криптоконтейнер в консоли Kaspersky Anti Targeted Attack Platform (см. инструкцию в справке Kaspersky Anti Targeted Attack Platform). После настройки параметров Central Node вам нужно в параметрах Kaspersky Endpoint Security также включить функцию двусторонней аутентификации и загрузить защищенный паролем криптоконтейнер. Криптоконтейнер должен быть защищен паролем. Добавить криптоконтейнер с пустым паролем невозможно.
Отправлять запрос на синхронизацию на сервер каждые (мин.) (доступен только для Endpoint Detection and Response Expert (версия 7.1 и ниже))	`Windows` `macOS` `Linux`	Период отправки запросов на синхронизацию с сервером. Во время синхронизации Kaspersky Endpoint Security передает данные об изменениях в параметрах приложения и задачах.
Подключение к серверам KATA / Подключение к серверам сбора телеметрии	`Windows` `macOS` `Linux`	Параметры подключения к серверам Kaspersky Anti Targeted Attack Platform. Введите IP-адрес сервера Central Node (IPv4 или IPv6) и порт подключения к серверу. Вы можете добавить несколько адресов сервера Central Node. Kaspersky Endpoint Security пытается установить соединение с сервером через первый IP-адрес. Если установить соединение не удалось, Kaspersky Endpoint Security пытается установить соединение через второй IP-адрес и так далее по списку. Архитектура решений EDR (KATA) и EDR Expert (on-premise) отличается. Для обработки телеметрии EDR Expert (on-premise) использует сервер сбора телеметрии, а не сервер Central Node, как в EDR (KATA). Поэтому при интеграции приложения с EDR Expert (on-premise) вам нужно добавить сервер сбора телеметрии.
Отправлять телеметрию в KATA / Отправлять телеметрию на серверы сбора телеметрии	`Windows` `macOS` `Linux`	Функция позволяет полностью выключить отправку телеметрии на сервер KATA или сервер сбора телеметрии в зависимости от выбранного решения. Например, если вы используете Kaspersky Anti Targeted Attack Platform совместно с другим решением, которое также использует телеметрию, вы можете выключить отправку телеметрии для KATA (EDR). Это позволит оптимизировать нагрузку на серверы для этих решений. Если у вас развернуто решение Managed Detection and Response и KATA (EDR), вы можете использовать телеметрию MDR, а создавать задачи реагирования на угрозы в KATA (EDR).
Отправлять телеметрию только с IOA (доступен только для Endpoint Detection and Response Expert (версия 8.0 и выше))	`Windows` `Linux`	Функция позволяет оптимизировать отправку телеметрии на сервер и отправлять только телеметрию с IOA. Индикатор атак (Indicator of Attack, IOA) – правило, содержащее описание подозрительного поведения в системе, которое может являться признаком целевой атаки. Приложение сравнивает текущее поведение в системе с этими правилами и регистрирует события, характерные для целевой атаки. Приложение использует технологию потоковой проверки, которая позволяет отслеживать такие события в режиме реального времени.
Максимальная задержка отправки событий (сек.)	`Windows` `macOS` `Linux`	Приложение выполняет синхронизацию с сервером для передачи событий по истечению периода синхронизации.
Максимальное количество пакетов событий	`Windows`	Приложение выполняет синхронизацию с сервером при заполнении буфера событиями.
Включить регулирование количества запросов	`Windows` `macOS` `Linux`	Функция позволяет оптимизировать нагрузку на сервер. Если флажок установлен, приложение будет ограничивать передачу событий. Если количество событий превышает установленные ограничения, Kaspersky Endpoint Security прекращает отправлять события. Максимальное количество событий в час. Приложение анализирует поток данных телеметрии и ограничивает передачу событий, если поток передаваемых событий превышает установленное ограничение в час. Kaspersky Endpoint Security восстанавливает передачу событий по истечению часа. Если приложение установлено на сервер, поток данных телеметрии выше. Для серверов рекомендуется увеличить значение до 60 тыс. событий в час. Процент превышения лимита событий. Приложение сортирует события по типу (например, события изменений в реестре) и ограничивает передачу событий, если соотношение однотипных событий к общему количеству событий превышает установленное ограничение в процентах. Kaspersky Endpoint Security восстанавливает отправку событий, когда соотношение других событий к общему количеству событий увеличится.
Подключение к серверам реагирования (доступен только для Endpoint Detection and Response Expert (версия 8.0 и выше))	`Windows` `macOS` `Linux`	Параметры подключения к серверам реагирования. Введите IP-адрес сервера реагирования (IPv4 или IPv6) и порт подключения к серверу. Вы можете добавить несколько адресов сервера реагирования. Kaspersky Endpoint Security пытается установить соединение с сервером через первый IP-адрес. Если установить соединение не удалось, Kaspersky Endpoint Security пытается установить соединение через второй IP-адрес и так далее по списку.
Настройки подключения (доступен только для Endpoint Detection and Response Expert (версия 8.0 и выше))	`Windows` `macOS` `Linux`	Настройте следующие параметры для подключения к серверу реагирования: Время ожидания соединения с сервером. Максимальное время ожидания ответа от сервера реагирования. По истечению времени ожидания Kaspersky Endpoint Security пытается подключиться к другому серверу реагирования. Сертификат сервера. TLS-сертификат для установки доверенного соединения с сервером реагирования. Использовать двустороннюю аутентификацию. Двусторонняя аутентификация при установлении безопасного соединения между Kaspersky Endpoint Security и сервером реагирования. Для использования двусторонней аутентификации вам нужно в параметрах сервера реагирования включить функцию двусторонней аутентификации, далее получить криптоконтейнер и установить пароль для защиты криптоконтейнера. Криптоконтейнер – PFX-архив с сертификатом и закрытым ключом агента. Вы можете получить криптоконтейнер в консоли Kaspersky Anti Targeted Attack Platform (см. инструкцию в справке Kaspersky Anti Targeted Attack Platform). После настройки параметров сервера реагирования вам нужно в параметрах Kaspersky Endpoint Security также включить функцию двусторонней аутентификации и загрузить защищенный паролем криптоконтейнер. Криптоконтейнер должен быть защищен паролем. Добавить криптоконтейнер с пустым паролем невозможно.

Настройка

ОС

Описание

Решение Endpoint Detection and Response Expert

Windows

macOS

Linux

Решения Endpoint Detection and Response Expert, с которым интегрируется Kaspersky Endpoint Security.

Endpoint Detection and Response Expert (версия 7.1 и ниже).

Endpoint Detection and Response Expert (версия 8.0 и выше).

Настройки подключения к серверам KATA / серверам сбора телеметрии

Windows

macOS

Linux

Настройте следующие параметры для подключения к серверу KATA или к серверу сбора телеметрии:

Время ожидания соединения с сервером. Максимальное время ожидания ответа от сервера Central Node. По истечению времени ожидания Kaspersky Endpoint Security пытается подключиться к другому серверу Central Node.
Сертификат сервера. TLS-сертификат для установки доверенного соединения с сервером Central Node. Вы можете получить TLS-сертификат в консоли Kaspersky Anti Targeted Attack Platform (см. инструкцию в справке Kaspersky Anti Targeted Attack Platform).
Использовать двустороннюю аутентификацию. Двусторонняя аутентификация при установлении безопасного соединения между Kaspersky Endpoint Security и сервером Central Node. Для использования двусторонней аутентификации вам нужно в параметрах сервера Central Node включить функцию двусторонней аутентификации, далее получить криптоконтейнер и установить пароль для защиты криптоконтейнера. Криптоконтейнер – PFX-архив с сертификатом и закрытым ключом агента. Вы можете получить криптоконтейнер в консоли Kaspersky Anti Targeted Attack Platform (см. инструкцию в справке Kaspersky Anti Targeted Attack Platform). После настройки параметров Central Node вам нужно в параметрах Kaspersky Endpoint Security также включить функцию двусторонней аутентификации и загрузить защищенный паролем криптоконтейнер.

Криптоконтейнер должен быть защищен паролем. Добавить криптоконтейнер с пустым паролем невозможно.

Отправлять запрос на синхронизацию на сервер каждые (мин.)

(доступен только для Endpoint Detection and Response Expert (версия 7.1 и ниже))

Windows

macOS

Linux

Период отправки запросов на синхронизацию с сервером. Во время синхронизации Kaspersky Endpoint Security передает данные об изменениях в параметрах приложения и задачах.

Подключение к серверам KATA / Подключение к серверам сбора телеметрии

Windows

macOS

Linux

Параметры подключения к серверам Kaspersky Anti Targeted Attack Platform. Введите IP-адрес сервера Central Node (IPv4 или IPv6) и порт подключения к серверу.

Вы можете добавить несколько адресов сервера Central Node. Kaspersky Endpoint Security пытается установить соединение с сервером через первый IP-адрес. Если установить соединение не удалось, Kaspersky Endpoint Security пытается установить соединение через второй IP-адрес и так далее по списку.

Архитектура решений EDR (KATA) и EDR Expert (on-premise) отличается. Для обработки телеметрии EDR Expert (on-premise) использует сервер сбора телеметрии, а не сервер Central Node, как в EDR (KATA). Поэтому при интеграции приложения с EDR Expert (on-premise) вам нужно добавить сервер сбора телеметрии.

Отправлять телеметрию в KATA / Отправлять телеметрию на серверы сбора телеметрии

Windows

macOS

Linux

Функция позволяет полностью выключить отправку телеметрии на сервер KATA или сервер сбора телеметрии в зависимости от выбранного решения. Например, если вы используете Kaspersky Anti Targeted Attack Platform совместно с другим решением, которое также использует телеметрию, вы можете выключить отправку телеметрии для KATA (EDR). Это позволит оптимизировать нагрузку на серверы для этих решений.

Если у вас развернуто решение Managed Detection and Response и KATA (EDR), вы можете использовать телеметрию MDR, а создавать задачи реагирования на угрозы в KATA (EDR).

Отправлять телеметрию только с IOA

(доступен только для Endpoint Detection and Response Expert (версия 8.0 и выше))

Windows

Linux

Функция позволяет оптимизировать отправку телеметрии на сервер и отправлять только телеметрию с IOA.

Индикатор атак (Indicator of Attack, IOA) – правило, содержащее описание подозрительного поведения в системе, которое может являться признаком целевой атаки. Приложение сравнивает текущее поведение в системе с этими правилами и регистрирует события, характерные для целевой атаки. Приложение использует технологию потоковой проверки, которая позволяет отслеживать такие события в режиме реального времени.

Максимальная задержка отправки событий (сек.)

Windows

macOS

Linux

Приложение выполняет синхронизацию с сервером для передачи событий по истечению периода синхронизации.

Максимальное количество пакетов событий

Windows

Приложение выполняет синхронизацию с сервером при заполнении буфера событиями.

Включить регулирование количества запросов

Windows

macOS

Linux

Функция позволяет оптимизировать нагрузку на сервер. Если флажок установлен, приложение будет ограничивать передачу событий. Если количество событий превышает установленные ограничения, Kaspersky Endpoint Security прекращает отправлять события.

Максимальное количество событий в час. Приложение анализирует поток данных телеметрии и ограничивает передачу событий, если поток передаваемых событий превышает установленное ограничение в час. Kaspersky Endpoint Security восстанавливает передачу событий по истечению часа. Если приложение установлено на сервер, поток данных телеметрии выше. Для серверов рекомендуется увеличить значение до 60 тыс. событий в час.

Процент превышения лимита событий. Приложение сортирует события по типу (например, события изменений в реестре) и ограничивает передачу событий, если соотношение однотипных событий к общему количеству событий превышает установленное ограничение в процентах. Kaspersky Endpoint Security восстанавливает отправку событий, когда соотношение других событий к общему количеству событий увеличится.

Подключение к серверам реагирования

(доступен только для Endpoint Detection and Response Expert (версия 8.0 и выше))

Windows

macOS

Linux

Параметры подключения к серверам реагирования. Введите IP-адрес сервера реагирования (IPv4 или IPv6) и порт подключения к серверу.

Вы можете добавить несколько адресов сервера реагирования. Kaspersky Endpoint Security пытается установить соединение с сервером через первый IP-адрес. Если установить соединение не удалось, Kaspersky Endpoint Security пытается установить соединение через второй IP-адрес и так далее по списку.

Настройки подключения

(доступен только для Endpoint Detection and Response Expert (версия 8.0 и выше))

Windows

macOS

Linux

Настройте следующие параметры для подключения к серверу реагирования:

Время ожидания соединения с сервером. Максимальное время ожидания ответа от сервера реагирования. По истечению времени ожидания Kaspersky Endpoint Security пытается подключиться к другому серверу реагирования.
Сертификат сервера. TLS-сертификат для установки доверенного соединения с сервером реагирования.

Использовать двустороннюю аутентификацию. Двусторонняя аутентификация при установлении безопасного соединения между Kaspersky Endpoint Security и сервером реагирования. Для использования двусторонней аутентификации вам нужно в параметрах сервера реагирования включить функцию двусторонней аутентификации, далее получить криптоконтейнер и установить пароль для защиты криптоконтейнера. Криптоконтейнер – PFX-архив с сертификатом и закрытым ключом агента. Вы можете получить криптоконтейнер в консоли Kaspersky Anti Targeted Attack Platform (см. инструкцию в справке Kaspersky Anti Targeted Attack Platform). После настройки параметров сервера реагирования вам нужно в параметрах Kaspersky Endpoint Security также включить функцию двусторонней аутентификации и загрузить защищенный паролем криптоконтейнер.

Криптоконтейнер должен быть защищен паролем. Добавить криптоконтейнер с пустым паролем невозможно.

В начало