O Kaspersky Endpoint Security for Windows suporta o funcionamento com o componente Kaspersky Endpoint Detection and Response como parte da solução Kaspersky Anti Targeted Attack Platform (EDR (KATA). Kaspersky Anti Targeted Attack Platform é uma solução criada para a deteção atempada de ameaças sofisticadas, como ataques direcionados, ameaças persistentes avançadas (APT), ataques de dia zero e outras. Kaspersky Anti Targeted Attack Platform inclui dois blocos funcionais: Kaspersky Anti Targeted Attack (daqui em diante também designada por " KATA ") e Kaspersky Endpoint Detection and Response (doravante denominado "EDR (KATA)"). Pode comprar o EDR (KATA) separadamente. Para obter mais informações sobre a solução, consulte a Ajuda da Kaspersky Anti Targeted Attack Platform.
A Kaspersky Endpoint Security é instalada em computadores individuais na infraestrutura de TI corporativa e monitoriza continuamente os processos, as ligações de rede abertas e os ficheiros que estão a ser modificados. As informações sobre eventos no computador (dados de telemetria) são enviadas para o servidor Kaspersky Anti Targeted Attack Platform. Neste caso, o Kaspersky Endpoint Security também envia informações para o servidor Kaspersky Anti Targeted Attack Platform sobre ameaças detetadas pela aplicação, bem como informações sobre os resultados de processamento destas ameaças.
A integração do EDR (KATA) é configurada na consola do Kaspersky Security Center. O agente integrado é então gerido usando a consola da Kaspersky Anti Targeted Attack Platform, incluindo a execução de tarefas, a gestão de objetos em quarentena, a exibição de relatórios e outras ações.
Definições do Endpoint Detection and Response (KATA)
Parâmetro |
Descrição |
|---|---|
Settings for connecting to KATA servers |
Timeout. Tempo limite máximo de resposta do servidor do Nó Central. Quando o tempo limite acaba, o Kaspersky Endpoint Security tenta ligar-se a um servidor de Nó Central diferente. Server TLS certificate. Certificado TLS para estabelecer uma ligação fiável com o servidor do Nó Central. Pode obter um certificado TLS na consola da Kaspersky Anti Targeted Attack Platform (consulte as instruções na Ajuda da Kaspersky Anti Targeted Attack Platform). Use two-way authentication. Autenticação bidirecional ao estabelecer uma ligação segura entre o Kaspersky Endpoint Security e o Nó Central. Para utilizar a autenticação bidirecional, é necessário ativar a autenticação bidirecional nas definições do Nó Central e, em seguida, obter um contentor criptográfico e definir uma palavra-passe para proteger o contentor criptográfico. Um cripto-contentor é um arquivo PFX com um certificado e uma chave privada. Pode obter um cripto-contentor na consola da Kaspersky Anti Targeted Attack Platform (consulte as instruções na Ajuda da Kaspersky Anti Targeted Attack Platform). Após configurar as definições do Nó Central, é também necessário ativar a autenticação bidirecional nas definições do Kaspersky Endpoint Security e carregar um contentor criptográfico protegido por password. O cripto-contentor deve ser protegido por password. Não é possível adicionar um cripto-contentor com uma password em branco. |
KATA servers |
Definições de ligação do servidor do nó central. Pode inserir um endereço IP (IPv4 ou IPv6). |
Send sync request to KATA server every (min) |
Frequência de pedidos de sincronização enviados ao servidor do Nó Central. Durante a sincronização, o Kaspersky Endpoint Security envia informações sobre as definições e tarefas modificadas da aplicação. |
Send telemetry to KATA |
Esta funcionalidade permite desativar completamente o envio de telemetria para o servidor. Se estiver a utilizar a Kaspersky Anti Targeted Attack Platform juntamente com outra solução que também usa telemetria, pode desativar a telemetria para o KATA (EDR). Isto permite otimizar a carga do servidor para estas soluções. Por exemplo, se tiver a solução Managed Detection and Response e o KATA (EDR) implementado, pode utilizar a telemetria MDR e criar tarefas de Resposta à Ameaça no KATA (EDR). |
Maximum events transmission delay (sec) |
A aplicação sincroniza com o servidor para enviar eventos após o término do intervalo de sincronização. A predefinição é 30 segundos. |
Enable request throttling |
Esta ação ajuda a otimizar a carga no servidor. Se a caixa de verificação estiver selecionada, a aplicação restringe os eventos transmitidos. Se o número de eventos exceder os limites configurados, o Kaspersky Endpoint Security irá interromper o envio de eventos. |
Maximum number of events per hour |
A aplicação analisa o fluxo de dados de telemetria e restringe o envio de eventos se o fluxo de eventos exceder o limite de eventos por hora configurado. O Kaspersky Endpoint Security retoma o envio de eventos após uma hora. A predefinição é 3000 eventos por hora. |
Percentage of event limit excess |
A aplicação ordena os eventos por tipo (por exemplo, eventos "alterações no registo") e restringe a transmissão de eventos se a proporção de eventos do mesmo tipo para o número total de eventos exceder o limite configurado em percentagem. O Kaspersky Endpoint Security retoma o envio de eventos quando a proporção de outros eventos para o número total de eventos se torna grande o suficiente novamente. A predefinição é 15%. |