Endpoint Detection and Response Expert (on-premise)

Endpoint Detection and Response (KATA)

Kaspersky Endpoint Security for Windows acceptă lucrul cu componenta Kaspersky Endpoint Detection and Response ca parte a soluției Kaspersky Anti Targeted Attack Platform (EDR (KATA)). Kaspersky Anti Targeted Attack Platform este o soluție concepută pentru detectarea în timp util a amenințărilor sofisticate, cum ar fi atacuri direcționate, amenințări persistente avansate (APT), atacuri zero-day și altele. Kaspersky Anti Targeted Attack Platform include trei unități funcționale:

Poți achiziționa separat toate unitățile funcționale sau unitățile funcționale individuale. Pentru informații detaliate despre soluție, consultați Ajutor pentru Kaspersky Anti Targeted Attack Platform.

Kaspersky Endpoint Security este instalat pe computere individuale din infrastructura IT corporativă și monitorizează continuu procesele, conexiunile la rețea deschise și fișierele care sunt modificate. Informațiile despre evenimentele de pe computer (date de telemetrie) sunt trimise către serverul Kaspersky Anti Targeted Attack Platform. În acest caz, aplicația Kaspersky Endpoint Security trimite, de asemenea, informații către serverul Kaspersky Anti Targeted Attack Platform despre amenințările descoperite de aplicație, precum și informații despre rezultatele procesării pentru aceste amenințări.

Integrarea EDR (KATA) și NDR (KATA) este configurată pe consola Kaspersky Security Center. Agentul încorporat este apoi gestionat utilizând consola Kaspersky Anti Targeted Attack Platform, inclusiv executarea activităților, gestionarea obiectelor aflate în carantină, vizualizarea rapoartelor și alte acțiuni.

Endpoint Detection and Response Expert (on-premise)

Integrarea Kaspersky Endpoint Security cu soluția Kaspersky Endpoint Detection and Response Expert (on-premise) va fi disponibilă în curând. Kaspersky Endpoint Detection and Response Expert (on-premise) este o soluție de securitate cibernetică pentru companii care include aplicații Kaspersky ce permit unei organizații să se apere împotriva majorității tipurilor de riscuri cibernetice și să acopere cele mai importante scenarii de propagare a amenințărilor. Componentele EDR Expert (on-premise) sunt implementate pe Open Single Management Platform (OSMP). Această funcționalitate este planificată să fie acceptată până la sfârșitul anului 2025. Urmărește notele noastre de lansare pentru a fi la curent cu actualizările și noile caracteristici ale aplicației.

Setări Endpoint Detection and Response Expert (on-premise)

Parametru

Descriere

Settings for connecting to KATA servers/Setări pentru conectarea la serverele KUMA

Configurează următoarele detalii pentru conexiunea la serverul KATA:

  • Timeout (sec). Expirarea timpului maxim de răspuns al serverului Central Node. Când timpul de expirare se termină, Kaspersky Endpoint Security încearcă să se conecteze la un alt server Central Node.
  • Server TLS certificate. Certificat TLS pentru stabilirea unei conexiuni de încredere cu serverul Central Node. Puteți obține un certificat TLS în consola Kaspersky Anti Targeted Attack Platform (consultați instrucțiunile din Ajutor Kaspersky Anti Targeted Attack Platform).
  • Use two-way authentication. Autentificare mutuală la stabilirea unei conexiuni securizate între Kaspersky Endpoint Security și serverul Central Node. Pentru a utiliza autentificarea mutuală, trebuie să activezi autentificarea mutuală în setările serverului Central Node, apoi să obții un container crypto și să setezi o parolă pentru a proteja containerul crypto. Un cripto-container este o arhivă PFX cu un certificat și o cheie privată. Puteți obține un cripto-container în consola Kaspersky Anti Targeted Attack Platform (consultați instrucțiunile din Ajutor Kaspersky Anti Targeted Attack Platform). După configurarea setărilor Central Node, trebuie să activați și autentificarea mutuală în setările Kaspersky Endpoint Security și să încărcați un container crypto protejat prin parolă.

Criptocontainerul trebuie să fie protejat prin parolă. Nu este posibil să adăugați un criptocontainer cu o parolă necompletată.

KATA servers/Servere de colectare a telemetriei

Setări conexiune servere Kaspersky Anti Targeted Attack Platform. Puteți introduce o adresă IP (IPv4 sau IPv6).

Poți adăuga mai multe adrese de server Central Node. Kaspersky Endpoint Security încearcă să se conecteze la server la prima adresă IP. Dacă nu se poate stabili o conexiune, Kaspersky Endpoint Security încearcă să se conecteze la a doua adresă IP din listă și așa mai departe.

Send sync request to KATA server every (min)

Frecvența solicitărilor de sincronizare trimise către serverul. În timpul sincronizării, Kaspersky Endpoint Security trimite informații despre setările și activitățile modificate ale aplicației.

Send telemetry to KATA / Send telemetry to KUMA

Această funcționalitate îți permite să dezactivezi complet trimiterea de telemetrie către serverul KATA. De exemplu, dacă utilizezi Kaspersky Anti Targeted Attack Platform împreună cu o altă soluție care utilizează, de asemenea, telemetria, poți dezactiva telemetria pentru KATA (EDR). Acest lucru vă permite să optimizați încărcarea serverului pentru aceste soluții. Dacă ai implementate soluțiile Managed Detection and Response și KATA (EDR), poți utiliza telemetria MDR și poți crea activități Răspuns la amenințare în KATA (EDR).

Trimite doar evenimentele de telemetrie cu IOA

(disponibilă numai pentru Endpoint Detection and Response (KATA))

Aceasta permite optimizarea telemetriei și trimiterea doar a telemetriei cu IOA. Indicatorul de atac (IOA) este o regulă care conține o descriere a comportamentului suspect din sistem, care poate indica un atac țintit. Aplicația compară comportamentul curent din sistem cu aceste reguli și înregistrează în jurnal evenimentele care indică un atac țintit. Aplicația utilizează tehnologia scanare în flux care permite urmărirea în timp real a acestor evenimente.

Maximum events transmission delay (sec)

Aplicația se sincronizează cu serverul pentru a trimite evenimente după expirarea intervalului de sincronizare. Valoarea implicită este 30 de secunde.

Enable throttling

Această caracteristică ajută la optimizarea încărcării serverului. În cazul în care caseta de selectare este bifată, aplicația restricționează evenimentele transmise. Dacă numărul de evenimente depășește limitele configurate, Kaspersky Endpoint Security oprește trimiterea evenimentelor.

Maximum number of events per hour

Aplicația analizează fluxul de date de telemetrie și restricționează trimiterea evenimentelor dacă fluxul de evenimente depășește limita de evenimente pe oră configurată. Kaspersky Endpoint Security reia trimiterea evenimentelor după o oră. Valoarea implicită este de 3000 de evenimente pe oră. Dacă aplicația este instalată pe un server, fluxul de date de telemetrie este mai mare. Pentru servere, se recomandă creșterea valorii la 60.000 de evenimente pe oră.

Percentage of event limit excess

Aplicația sortează evenimentele după tip (de exemplu, evenimente „modificări în registry”) și restricționează transmiterea evenimentelor dacă raportul dintre evenimente de același tip și numărul total de evenimente depășește limita configurată în procente. Kaspersky Endpoint Security reia trimiterea evenimentelor atunci când raportul dintre alte evenimente și numărul total de evenimente devine din nou suficient de mare. Valoarea implicită este 15%.

Consultă și

Integrarea agentului încorporat cu EDR / NDR (KATA)

Configurarea telemetriei
Începutul paginii