Endpoint Detection and Response (KATA)
O Kaspersky Endpoint Security for Windows é compatível com o trabalho do componente Kaspersky Endpoint Detection and Response como parte da solução Kaspersky Anti Targeted Attack Platform (EDR (KATA)). Kaspersky Anti Targeted Attack Platform é uma solução projetada para a detecção oportuna de ameaças sofisticadas, como ataques direcionados, ameaças persistentes avançadas (APT) e ataques de dia zero, entre outros. A Kaspersky Anti Targeted Attack Platform inclui três unidades funcionais:
É possível adquirir todas as unidades funcionais ou unidades individuais separadamente. Para obter informações detalhadas sobre a solução, consulte a Ajuda da Kaspersky Anti Targeted Attack Platform.
O Kaspersky Endpoint Security é instalado em computadores individuais na infraestrutura corporativa de TI e monitora continuamente os processos, as conexões de rede abertas e os arquivos em modificação. As informações sobre eventos no computador são enviadas para o servidor do Kaspersky Anti Targeted Attack Platform. Nesse caso, o Kaspersky Endpoint Security também envia informações ao servidor do Kaspersky Anti Targeted Attack Platform sobre ameaças descobertas pelo aplicativo, além das informações sobre o processamento dos resultados dessas ameaças.
A integração do EDR (KATA) e NDR (KATA) é configurada no console do Kaspersky Security Center. Então, o agente integrado é gerenciado com o uso do console Kaspersky Anti Targeted Attack Platform, inclusive a execução de tarefas, gerenciamento de objetos em quarentena, exibição de relatórios e outras ações.
Endpoint Detection and Response Expert (on-premise)
A integração do Kaspersky Endpoint Security com a solução Kaspersky Endpoint Detection and Response Expert (on-premise) estará disponível em breve. Kaspersky Endpoint Detection and Response Expert (on-premise) é uma solução de segurança virtual empresarial que inclui aplicativos da Kaspersky que viabilizam para uma organização a defesa contra a maioria dos tipos de riscos virtuais, além de englobar os cenários mais importantes de propagação de ameaças. Os componentes EDR Expert (on-premise) são implementados na Open Single Management Platform (OSMP). O suporte para essa funcionalidade está planejado para ser encerrado no final de 2025. Acompanhe nossas notas de lançamento para ficar por dentro das atualizações do aplicativo e dos novos recursos.
Configurações do Endpoint Detection and Response Expert (on-premise)
Parâmetro |
Descrição |
|---|---|
Configurações de conexão com servidores KATA / Configurações de conexão com servidores KATA |
Configure o seguinte item para conexão do servidor KATA:
O contêiner criptográfico deve ser protegido por senha. Não é possível adicionar um contêiner criptográfico sem senha. |
Servidores KATA / Telemetry collection servers |
Configurações de conexão dos servidores da Kaspersky Anti Targeted Attack Platform. É possível inserir um endereço IP (IPv4 ou IPv6). É possível adicionar vários endereços de servidor do nó central. O Kaspersky Endpoint Security tenta se conectar ao servidor no primeiro endereço IP. Caso a conexão não possa ser estabelecida, o Kaspersky Endpoint Security tenta se conectar ao segundo endereço IP na lista e assim sucessivamente. |
Enviar solicitação de sincronização para o servidor KATA a cada (min.) |
Frequência de solicitações de sincronização enviadas ao servidor. Durante a sincronização, o Kaspersky Endpoint Security envia informações sobre as configurações e tarefas modificadas do aplicativo. |
Enviar telemetria à KATA / Enviar telemetria à KUMA |
Essa funcionalidade permite desativar completamente o envio de telemetria para o servidor KATA. Por exemplo, caso esteja usando a Kaspersky Anti Targeted Attack Platform juntamente com outra solução que também use telemetria, é possível desativá-la para KATA (EDR). Isso permite otimizar a carga do servidor para essas soluções. Caso tenha a solução Managed Detection and Response e KATA (EDR) implantados, será possível usar a telemetria MDR e criar tarefas de Resposta a Ameaças no KATA (EDR). |
Enviar apenas telemetria com IOA (disponível apenas para Endpoint Detection and Response (KATA)) |
Isso permite otimizar a telemetria e enviar apenas a telemetria com IOA. Indicadores de ataque (IOA) é uma regra que contém uma descrição de comportamentos suspeitos no sistema que podem indicar um ataque direcionado. O aplicativo compara o comportamento contínuo no sistema com essas regras e registra os eventos que indicam um ataque direcionado. O aplicativo usa a tecnologia de verificação de streaming, que permite fazer o rastreamento de eventos em tempo real. |
Atraso máximo na transmissão de eventos (segundos) |
O aplicativo sincroniza com o servidor para enviar eventos após expirar o intervalo de sincronização. A configuração padrão é 30 segundos. |
Ativar a limitação de solicitações |
Esse recurso ajuda a otimizar a carga no computador. Caso a caixa de seleção esteja marcada, o aplicativo restringirá os eventos transmitidos. Caso o número de eventos exceda os limites configurados, o Kaspersky Endpoint Security interromperá o envio de eventos. |
Número máximo de eventos por hora |
O aplicativo analisa o fluxo de dados de telemetria e restringe o envio de eventos caso ele exceda o limite de eventos configurado por hora. O Kaspersky Endpoint Security retoma o envio de eventos após uma hora. A configuração padrão é de 3 mil eventos por hora. Caso o aplicativo esteja instalado em um servidor, o fluxo de dados de telemetria será maior. Para servidores, é recomendável aumentar o valor para 60 mil eventos por hora. |
Porcentagem de excesso de limite de evento |
O aplicativo ordena os eventos por tipo (por exemplo, eventos "alterações no registro") e restringe a transmissão de eventos caso a proporção de eventos do mesmo tipo para o número total de eventos exceda o limite configurado em porcentagem. O Kaspersky Endpoint Security retoma o envio de eventos quando a proporção de outros eventos para o número total de eventos torna-se volumosa o suficiente novamente. A configuração padrão é 15%. |