Endpoint Detection and Response Expert (on-premise)

Kaspersky Endpoint Security для Windows поддерживает работу с решениями Kaspersky Endpoint Detection and Response Expert (on-premise). Kaspersky Endpoint Detection and Response Expert (on-premise) – решения для кибербезопасности бизнеса, которое включает в себя приложения "Лаборатории Касперского", с помощью которых организация получает возможность защититься от большинства киберрисков и покрыть основные сценарии распространения угроз. Компоненты EDR Expert (on-premise) развернуты на единой платформе управления Open Single Management Platform (OSMP). Платформа обеспечивает выполнение кросс-программных сценариев в рамках единого интерфейса и позволяет интегрировать приложения "Лаборатории Касперского" и приложения сторонних производителей в единую систему безопасности.

Один из центральных элементов решения – SIEM. SIEM позволяет отслеживать события, полученные от всех компонентов, и выполняет взаимную корреляцию этих событий с помощью готовых и пользовательских правил. На основании журналов и телеметрии, полученных от инфраструктуры организации, EDR Expert (on-premise) автоматически выявляет атаки и позволяет проводить расследование инцидентов с помощью единого графа расследования, который комбинирует все собираемые в EDR Expert (on-premise) события – как от приложений "Лаборатории Касперского", так и от сторонних ИБ-продуктов.

Для реагирования на сложные инциденты EDR Expert (on-premise) использует предустановленные и пользовательские сценарии. Также доступны действия по реагированию от приложений сторонних производителей и сценарии реагирования, в которых задействовано несколько приложений.

Endpoint Detection and Response (KATA)

Kaspersky Endpoint Security для Windows поддерживает работу с компонентом Kaspersky Endpoint Detection and Response в составе решения Kaspersky Anti Targeted Attack Platform (EDR (KATA)). Kaspersky Anti Targeted Attack Platform – решение, предназначенное для своевременного обнаружения сложных угроз, таких как целевые атаки, сложные постоянные угрозы (англ. Advanced Persistent Threat, APT), атаки "нулевого дня" и другие. Kaspersky Anti Targeted Attack Platform включает в себя три функциональных блока:

Kaspersky Anti Targeted Attack (далее также "KATA");
Kaspersky Endpoint Detection and Response (далее также "EDR (KATA)");
Network Detection and Response (далее также "NDR (KATA)").

Вы можете приобрести все функциональные блоки или приобрести функциональные блоки по отдельности. Подробнее о решении см. в справке Kaspersky Anti Targeted Attack Platform.

Приложение Kaspersky Endpoint Security устанавливается на отдельных компьютерах, входящих в IT-инфраструктуру организации, и осуществляет постоянное наблюдение за процессами, открытыми сетевыми соединениями и изменяемыми файлами. Данные о событиях на компьютере (телеметрия) отправляются на сервер Kaspersky Anti Targeted Attack Platform. Приложение Kaspersky Endpoint Security также передает на сервер Kaspersky Anti Targeted Attack Platform данные об угрозах, обнаруженных приложением, и данные о результатах обработки этих угроз.

Настройка интеграции с EDR (KATA) и NDR (KATA) выполняется в консоли Kaspersky Security Center. Дальнейшее управление встроенным агентом осуществляется в консоли Kaspersky Anti Targeted Attack Platform, включая запуск задач, управление объектами на карантине, просмотр отчетов и другие действия.

Параметры Endpoint Detection and Response Expert (on-premise)

Параметр	Описание
Подключение к серверам сбора телеметрии	Сервер сбора телеметрии – сервер, входящий в состав SIEM, который предназначен для сбора, нормализации, корреляции, анализа и хранения данных о событиях на компьютере. Настройте следующие параметры для подключения к серверам сбора телеметрии (KUMA): Время ожидания (сек.). Максимальное время ожидания ответа от сервера. По истечению времени ожидания Kaspersky Endpoint Security пытается подключиться к другому серверу. Сертификат сервера. TLS-сертификат для установки доверенного соединения с сервером. Вы можете получить TLS-сертификат в единой платформе управления OSMP (см. инструкцию в справке Kaspersky Endpoint Detection and Response Expert (on-premise)). Использовать двустороннюю аутентификацию. Двусторонняя аутентификация при установлении безопасного соединения между Kaspersky Endpoint Security и сервером. Для использования двусторонней аутентификации вам нужно в параметрах сервера включить функцию двусторонней аутентификации, далее получить криптоконтейнер и установить пароль для защиты криптоконтейнера. Криптоконтейнер – PFX-архив с сертификатом и закрытым ключом агента. Вы можете получить криптоконтейнер в единой платформе управления OSMP (см. инструкцию в справке Kaspersky Endpoint Detection and Response Expert (on-premise)). После настройки параметров сервера вам нужно в параметрах Kaspersky Endpoint Security также включить функцию двусторонней аутентификации и загрузить защищенный паролем криптоконтейнер. Криптоконтейнер должен быть защищен паролем. Добавить криптоконтейнер с пустым паролем невозможно.
Адрес и Порт (серверы сбора телеметрии)	Параметры подключения к серверам сбора телеметрии. Вы можете ввести IP-адрес (IPv4 или IPv6). Вы можете добавить несколько адресов сервера сбора телеметрии. Kaspersky Endpoint Security пытается установить соединение с сервером через первый IP-адрес. Если установить соединение не удалось, Kaspersky Endpoint Security пытается установить соединение через второй IP-адрес и так далее по списку.
Отправлять телеметрию на серверы сбора телеметрии	Функция позволяет полностью выключить отправку телеметрии на сервер KATA. Например, если вы используете Kaspersky Anti Targeted Attack Platform совместно с другим решением, которое также использует телеметрию, вы можете выключить отправку телеметрии для KATA (EDR). Это позволит оптимизировать нагрузку на серверы для этих решений. Если у вас развернуто решение Managed Detection and Response и KATA (EDR), вы можете использовать телеметрию MDR, а создавать задачи реагирования на угрозы в KATA (EDR). Отправлять телеметрию только с IOA. Функция позволяет оптимизировать отправку телеметрии на сервер и отправлять только телеметрию с IOA. Индикатор атак (Indicator of Attack, IOA) – правило, содержащее описание подозрительного поведения в системе, которое может являться признаком целевой атаки. Приложение сравнивает текущее поведение в системе с этими правилами и регистрирует события, характерные для целевой атаки. Приложение использует технологию потоковой проверки, которая позволяет отслеживать такие события в режиме реального времени. Максимальная задержка отправки событий (сек.). Приложение выполняет синхронизацию с сервером для передачи событий по истечению периода синхронизации. По умолчанию установлено значение 30 секунд. Ограничить количество пакетов событий в рамках одной передачи. Приложение выполняет синхронизацию с сервером при заполнении буфера событиями. По умолчанию установлено значение 1024 события. Функция позволяет выключить буферизацию событий перед синхронизацией с сервером.
Включить регулирование количества запросов	Функция позволяет оптимизировать нагрузку на сервер. Если флажок установлен, приложение будет ограничивать передачу событий. Если количество событий превышает установленные ограничения, Kaspersky Endpoint Security прекращает отправлять события. Настройте параметры отправки телеметрии: Максимальное количество событий в час. Приложение анализирует поток данных телеметрии и ограничивает передачу событий, если поток передаваемых событий превышает установленное ограничение в час. Kaspersky Endpoint Security восстанавливает передачу событий по истечению часа. По умолчанию установлено значение 3000 событий в час. Если приложение установлено на сервер, поток данных телеметрии выше. Для серверов рекомендуется увеличить значение до 60 тыс. событий в час. Процент превышения лимита событий. Приложение сортирует события по типу (например, события изменений в реестре) и ограничивает передачу событий, если соотношение однотипных событий к общему количеству событий превышает установленное ограничение в процентах. Kaspersky Endpoint Security восстанавливает отправку событий, когда соотношение других событий к общему количеству событий увеличится. По умолчанию установлено значение 15 %.
Отправлять запрос на синхронизацию на сервер каждые (мин.)	Период отправки запросов на синхронизацию с сервером. Во время синхронизации Kaspersky Endpoint Security передает данные об изменениях в параметрах приложения и задачах.
Подключение к серверам реагирования	Сервер реагирования – сервер, который предназначен для приема и проверки данных, исследования поведения объектов, а также публикации результатов исследования. Настройте следующие параметры для подключения к серверам реагирования: Время ожидания (сек.). Максимальное время ожидания ответа от сервера. По истечению времени ожидания Kaspersky Endpoint Security пытается подключиться к другому серверу. Сертификат сервера. TLS-сертификат для установки доверенного соединения с сервером. Вы можете получить TLS-сертификат в единой платформе управления OSMP (см. инструкцию в справке Kaspersky Endpoint Detection and Response Expert (on-premise)). Использовать двустороннюю аутентификацию. Двусторонняя аутентификация при установлении безопасного соединения между Kaspersky Endpoint Security и сервером. Для использования двусторонней аутентификации вам нужно в параметрах сервера включить функцию двусторонней аутентификации, далее получить криптоконтейнер и установить пароль для защиты криптоконтейнера. Криптоконтейнер – PFX-архив с сертификатом и закрытым ключом агента. Вы можете получить криптоконтейнер в единой платформе управления OSMP (см. инструкцию в справке Kaspersky Endpoint Detection and Response Expert (on-premise)). После настройки параметров сервера вам нужно в параметрах Kaspersky Endpoint Security также включить функцию двусторонней аутентификации и загрузить защищенный паролем криптоконтейнер.
Адрес и Порт (серверы реагирования)	Параметры подключения к серверам реагирования. Вы можете ввести IP-адрес (IPv4 или IPv6). Вы можете добавить несколько адресов сервера сбора телеметрии. Kaspersky Endpoint Security пытается установить соединение с сервером через первый IP-адрес. Если установить соединение не удалось, Kaspersky Endpoint Security пытается установить соединение через второй IP-адрес и так далее по списку.

Параметры Endpoint Detection and Response (KATA)

Параметр	Описание
Отправлять запрос на синхронизацию на сервер каждые (мин.)	Период отправки запросов на синхронизацию с сервером. Во время синхронизации Kaspersky Endpoint Security передает данные об изменениях в параметрах приложения и задачах.
Подключение к серверам KATA	Настройте следующие параметры для подключения к серверу Central Node: Время ожидания (сек.). Максимальное время ожидания ответа от сервера Central Node. По истечению времени ожидания Kaspersky Endpoint Security пытается подключиться к другому серверу Central Node. Сертификат сервера. TLS-сертификат для установки доверенного соединения с сервером Central Node. Вы можете получить TLS-сертификат в консоли Kaspersky Anti Targeted Attack Platform (см. инструкцию в справке Kaspersky Anti Targeted Attack Platform). Использовать двустороннюю аутентификацию. Двусторонняя аутентификация при установлении безопасного соединения между Kaspersky Endpoint Security и сервером Central Node. Для использования двусторонней аутентификации вам нужно в параметрах сервера Central Node включить функцию двусторонней аутентификации, далее получить криптоконтейнер и установить пароль для защиты криптоконтейнера. Криптоконтейнер – PFX-архив с сертификатом и закрытым ключом агента. Вы можете получить криптоконтейнер в консоли Kaspersky Anti Targeted Attack Platform (см. инструкцию в справке Kaspersky Anti Targeted Attack Platform). После настройки параметров Central Node вам нужно в параметрах Kaspersky Endpoint Security также включить функцию двусторонней аутентификации и загрузить защищенный паролем криптоконтейнер. Криптоконтейнер должен быть защищен паролем. Добавить криптоконтейнер с пустым паролем невозможно.
Адрес и Порт (серверы KATA)	Параметры подключения к серверам Kaspersky Anti Targeted Attack Platform. Введите IP-адрес сервера Central Node (IPv4 или IPv6) и порт подключения к серверу. Вы можете добавить несколько адресов сервера Central Node. Kaspersky Endpoint Security пытается установить соединение с сервером через первый IP-адрес. Если установить соединение не удалось, Kaspersky Endpoint Security пытается установить соединение через второй IP-адрес и так далее по списку.
Отправлять телеметрию в KATA	Функция позволяет полностью выключить отправку телеметрии на сервер KATA. Например, если вы используете Kaspersky Anti Targeted Attack Platform совместно с другим решением, которое также использует телеметрию, вы можете выключить отправку телеметрии для KATA (EDR). Это позволит оптимизировать нагрузку на серверы для этих решений. Если у вас развернуто решение Managed Detection and Response и KATA (EDR), вы можете использовать телеметрию MDR, а создавать задачи реагирования на угрозы в KATA (EDR). Настройте параметры отправки телеметрии: Максимальная задержка отправки событий (сек.). Приложение выполняет синхронизацию с сервером для передачи событий по истечению периода синхронизации. По умолчанию установлено значение 30 секунд. Максимальное количество пакетов событий. Приложение выполняет синхронизацию с сервером при заполнении буфера событиями. По умолчанию установлено значение 1024 события.
Включить регулирование количества запросов	Функция позволяет оптимизировать нагрузку на сервер. Если флажок установлен, приложение будет ограничивать передачу событий. Если количество событий превышает установленные ограничения, Kaspersky Endpoint Security прекращает отправлять события. Настройте параметры отправки телеметрии: Максимальное количество событий в час. Приложение анализирует поток данных телеметрии и ограничивает передачу событий, если поток передаваемых событий превышает установленное ограничение в час. Kaspersky Endpoint Security восстанавливает передачу событий по истечению часа. По умолчанию установлено значение 3000 событий в час. Если приложение установлено на сервер, поток данных телеметрии выше. Для серверов рекомендуется увеличить значение до 60 тыс. событий в час. Процент превышения лимита событий. Приложение сортирует события по типу (например, события изменений в реестре) и ограничивает передачу событий, если соотношение однотипных событий к общему количеству событий превышает установленное ограничение в процентах. Kaspersky Endpoint Security восстанавливает отправку событий, когда соотношение других событий к общему количеству событий увеличится. По умолчанию установлено значение 15 %.

См. также

Интеграция встроенного агента с EDR / NDR (KATA)

Настройка отправки телеметрии EDR (KATA)

В начало