Endpoint Detection and Response (KATA)
O Kaspersky Endpoint Security for Windows suporta o funcionamento com o componente Kaspersky Endpoint Detection and Response como parte da solução Kaspersky Anti Targeted Attack Platform (EDR (KATA). Kaspersky Anti Targeted Attack Platform é uma solução criada para a deteção atempada de ameaças sofisticadas, como ataques direcionados, ameaças persistentes avançadas (APT), ataques de dia zero e outras. A Kaspersky Anti Targeted Attack Platform inclui três unidades funcionais:
Pode adquirir todas as unidades funcionais ou unidades funcionais individuais separadamente. Para obter mais informações sobre a solução, consulte a Ajuda da Kaspersky Anti Targeted Attack Platform.
A Kaspersky Endpoint Security é instalada em computadores individuais na infraestrutura de TI corporativa e monitoriza continuamente os processos, as ligações de rede abertas e os ficheiros que estão a ser modificados. As informações sobre eventos no computador (dados de telemetria) são enviadas para o servidor Kaspersky Anti Targeted Attack Platform. Neste caso, o Kaspersky Endpoint Security também envia informações para o servidor Kaspersky Anti Targeted Attack Platform sobre ameaças detetadas pela aplicação, bem como informações sobre os resultados de processamento destas ameaças.
A integração do EDR (KATA) e NDR (KATA) é configurada na consola do Kaspersky Security Center. O agente integrado é então gerido usando a consola da Kaspersky Anti Targeted Attack Platform, incluindo a execução de tarefas, a gestão de objetos em quarentena, a exibição de relatórios e outras ações.
Endpoint Detection and Response Expert (on-premise)
A integração do Kaspersky Endpoint Security com a solução Kaspersky Endpoint Detection and Response Expert (on-premise) estará disponível em breve. O Kaspersky Endpoint Detection and Response Expert (on-premise) é uma solução de cibersegurança empresarial que inclui aplicações da Kaspersky que permitem a uma organização defender-se contra a maioria dos tipos de riscos cibernéticos e cobrir os cenários mais importantes de propagação de ameaças. Os componentes do EDR Expert (on-premise) são implementados na Open Single Management Platform (OSMP). A previsão é que esta funcionalidade seja disponibilizada até ao final de 2025. Acompanhe as nossas Notas de Versão para ficar a par das atualizações da aplicação e das novas funcionalidades.
Definições do Endpoint Detection and Response Expert (on-premise)
Parâmetro |
Descrição |
|---|---|
Connection to KATA servers/Connection to telemetry collection servers |
Configure o seguinte para a ligação do servidor KATA:
O cripto-contentor deve ser protegido por password. Não é possível adicionar um cripto-contentor com uma password em branco. |
KATA servers/Servidores de recolha de telemetria |
Definições de ligação dos servidores da Kaspersky Anti Targeted Attack Platform. Pode inserir um endereço IP (IPv4 ou IPv6). Pode adicionar vários endereços do servidor do Nó Central. O Kaspersky Endpoint Security tenta ligar-se ao servidor no primeiro endereço IP. Se não for possível estabelecer uma ligação, o Kaspersky Endpoint Security tenta ligar-se ao segundo endereço IP da lista e assim sucessivamente. |
Send sync request to KATA server every (min) |
Frequência de pedidos de sincronização enviados ao servidor. Durante a sincronização, o Kaspersky Endpoint Security envia informações sobre as definições e tarefas modificadas da aplicação. |
Send telemetry to KATA/Send telemetry to telemetry collection servers |
Esta funcionalidade permite desativar completamente o envio de telemetria para o servidor KATA. Se estiver a utilizar a Kaspersky Anti Targeted Attack Platform juntamente com outra solução que também usa telemetria, pode desativar a telemetria para o KATA (EDR). Isto permite otimizar a carga do servidor para estas soluções. Por exemplo, se tiver a solução Managed Detection and Response e o KATA (EDR) implementado, pode utilizar a telemetria MDR e criar tarefas de Resposta à Ameaça no KATA (EDR). |
Send telemetry with IOA only (disponível apenas para Endpoint Detection and Response (KATA)) |
Isto permite otimizar a telemetria e enviar apenas telemetria com IOA. Indicador de Ataque (IOA) é uma regra que contém uma descrição do comportamento suspeito no sistema que pode indicar um ataque direcionado. A aplicação compara o comportamento contínuo no sistema com essas regras e regista eventos que indicam um ataque direcionado. A aplicação utiliza a tecnologia de análise em tempo real, que permite o acompanhamento em tempo real desses eventos. |
Maximum events transmission delay (sec) |
A aplicação sincroniza com o servidor para enviar eventos após o término do intervalo de sincronização. A predefinição é 30 segundos. |
Enable throttling |
Esta ação ajuda a otimizar a carga no servidor. Se a caixa de verificação estiver selecionada, a aplicação restringe os eventos transmitidos. Se o número de eventos exceder os limites configurados, o Kaspersky Endpoint Security irá interromper o envio de eventos. |
Maximum number of events per hour |
A aplicação analisa o fluxo de dados de telemetria e restringe o envio de eventos se o fluxo de eventos exceder o limite de eventos por hora configurado. O Kaspersky Endpoint Security retoma o envio de eventos após uma hora. A predefinição é 3000 eventos por hora. Se a aplicação estiver instalada num servidor, o fluxo de dados de telemetria é mais elevado. Para os servidores, recomenda-se que o valor seja aumentado para 60 000 eventos por hora. |
Percentage of event limit excess |
A aplicação ordena os eventos por tipo (por exemplo, eventos "alterações no registo") e restringe a transmissão de eventos se a proporção de eventos do mesmo tipo para o número total de eventos exceder o limite configurado em percentagem. O Kaspersky Endpoint Security retoma o envio de eventos quando a proporção de outros eventos para o número total de eventos se torna grande o suficiente novamente. A predefinição é 15%. |