Network Detection and Response (KATA)

Kaspersky Endpoint Security für Windows unterstützt die Arbeit mit der Komponente Kaspersky Endpoint Detection and Response als Teil der Lösung Kaspersky Anti Targeted Attack Platform (EDR (KATA)). Die Lösung Kaspersky Anti Targeted Attack Platform dient der rechtzeitigen Erkennung komplexer Bedrohungen. Dazu zählen beispielsweise gezielte Angriffe, hoch entwickelte hartnäckige Bedrohungen (APT, Advanced Persistent Threat) und Zero-Day-Angriffe. Kaspersky Anti Targeted Attack Platform umfasst drei Funktionseinheiten:

Sie können alle Funktionseinheiten oder einzelne Funktionseinheiten separat erwerben. Einzelheiten über diese Lösung finden Sie in der Hilfe zu „Kaspersky Anti Targeted Attack Platform“.

Kaspersky Endpoint Security wird auf den einzelnen Computern einer IT-Unternehmensinfrastruktur installiert und überwacht kontinuierlich Prozesse, offene Netzwerkverbindungen und geänderte Dateien. Informationen über Ereignisse auf dem Computer (Telemetriedaten) werden an den Kaspersky Anti Targeted Attack Platform-Server gesendet. In diesem Fall sendet Kaspersky Endpoint Security an den Kaspersky Anti Targeted Attack Platform-Server auch Informationen über die von der App erkannten Bedrohungen sowie Informationen über die Verarbeitungsergebnisse dieser Bedrohungen.

Die Integration von EDR (KATA) und NDR (KATA) wird in der Kaspersky Security Center-Konsole konfiguriert. Anschließend wird der integrierte Agent über die Kaspersky Anti Targeted Attack Platform-Konsole verwaltet, was sich beispielsweise auch auf folgende Vorgänge bezieht: Aufgaben ausführen, Objekten in der Quarantäne verwalten und Berichte anzeigen.

Einstellungen für Network Detection and Response (KATA)

Einstellung

Beschreibung

Einstellungen der Serververbindung

Timeout. Maximale Zeitüberschreitung für die Antwort von Central Node. Nach Ablauf des Timeouts versucht Kaspersky Endpoint Security, sich mit einem anderen Central Node-Server zu verbinden.

TLS-Zertifikat des Servers. TLS-Zertifikat zum Herstellen einer vertrauenswürdigen Verbindung mit dem Central Node-Server. Ein TLS-Zertifikat können Sie in der Konsole von Kaspersky Anti Targeted Attack Platform anfordern (siehe Anleitung in der Hilfe zu Kaspersky Anti Targeted Attack Platform).

Zwei-Wege-Authentifizierung verwenden. Zwei-Wege-Authentifizierung beim Aufbau einer sicheren Verbindung zwischen Kaspersky Endpoint Security und Central Node. Um die Zwei-Wege-Authentifizierung zu verwenden, müssen Sie die Zwei-Wege-Authentifizierung in den Central Node-Einstellungen aktivieren, dann einen Krypto-Container anfordern und ein Kennwort festlegen, um den Krypto-Container zu schützen. Ein Krypto-Container ist ein PFX-Archiv mit einem Zertifikat und einem privaten Schlüssel. Einen Krypto-Container können Sie in der Konsole von Kaspersky Anti Targeted Attack Platform anfordern (siehe Anleitung in der Hilfe zu Kaspersky Anti Targeted Attack Platform). Nachdem Sie die Central Node-Einstellungen konfiguriert haben, müssen Sie die Zwei-Wege-Authentifizierung in den Einstellungen von Kaspersky Endpoint Security aktivieren und einen kennwortgeschützten Krypto-Container laden.

Der Krypto-Container muss kennwortgeschützt sein. Ein Krypto-Container mit einem leeren Passwort kann nicht hinzugefügt werden.

Adresse und Port

Verbindungseinstellungen für die Kaspersky Anti Targeted Attack Platform-Server. Sie können eine IP-Adresse eingeben (IPv4 oder IPv6).

Synchronisierungsanfrage an NDR-Server senden alle (Min.)

Häufigkeit der an den Server gesendeten Synchronisierungsanfragen. Während der Synchronisierung sendet Kaspersky Endpoint Security Informationen über geänderte Einstellungen und Aufgaben der App.

Maximale Verzögerung der Ereignisübertragung (Sek.)

Die App synchronisiert sich mit dem Server, um Ereignisse nach Ablauf des Synchronisierungsintervalls zu senden. Der Standardwert ist 30 Sekunden.

Anforderungsbegrenzung aktivieren

Durch diese Funktion wird die Auslastung des Computers optimiert. Ist das Kontrollkästchen aktiviert, schränkt die App die übertragenen Ereignisse ein. Wenn die Anzahl der Ereignisse die festgelegten Grenzwerte überschreitet, beendet Kaspersky Endpoint Security das Senden von Ereignissen.

Maximale Anzahl von Ereignissen pro Stunde

Die App analysiert den Telemetriedatenstrom und schränkt das Senden von Ereignissen ein, wenn der Ereignisstrom das festgelegte Limit für Ereignisse pro Stunde überschreitet. Kaspersky Endpoint Security setzt das Senden von Ereignissen nach einer Stunde fort. Die Standardeinstellung ist 3.000 Ereignisse pro Stunde. Wenn die App auf einem Server installiert ist, ist der Telemetrie-Datenstrom höher. Für Server wird empfohlen, den Wert auf 60.000 Ereignisse pro Stunde zu erhöhen.

Prozentsatz für die Überschreitung des Ereignislimits

Die App sortiert Ereignisse nach Typ (z. B. Ereignisse des Typs „Änderungen in der Registrierung“) und schränkt die Übertragung von Ereignissen ein, wenn das Verhältnis von Ereignissen desselben Typs zur Gesamtzahl von Ereignissen den in Prozent festgelegten Grenzwert überschreitet. Kaspersky Endpoint Security setzt das Senden von Ereignissen fort, wenn das Verhältnis der anderen Ereignisse zur Gesamtzahl der Ereignisse wieder dem Grenzwert entspricht. Die Standardeinstellung ist 15%.

Nach oben