Kaspersky Endpoint Security for Windows supporta l'utilizzo con il componente Kaspersky Endpoint Detection and Response come parte della soluzione Kaspersky Anti Targeted Attack Platform (EDR (KATA)). Kaspersky Anti Targeted Attack Platform è una soluzione progettata per il rilevamento tempestivo di minacce sofisticate come attacchi mirati, minacce APT (Advanced Persistent Threat), attacchi zero-day e di altro tipo. Kaspersky Anti Targeted Attack Platform include tre unità funzionali:
È possibile acquistare tutte le unità funzionali o le singole unità funzionali separatamente. Per informazioni dettagliate sulla soluzione, consultare la Guida di Kaspersky Anti Targeted Attack Platform.
L'applicazione Kaspersky Endpoint Security viene installata nei singoli computer dell'infrastruttura IT aziendale e monitora continuamente i processi, le connessioni di rete aperte e i file modificati. Le informazioni sugli eventi nel computer (dati di telemetria) vengono inviate al server di Kaspersky Anti Targeted Attack Platform. In questo caso, Kaspersky Endpoint Security invia anche informazioni al server di Kaspersky Anti Targeted Attack Platform sulle minacce rilevate dall'applicazione, nonché informazioni sull'elaborazione dei risultati di tali minacce.
L'integrazione di EDR (KATA) e NDR (KATA) è configurata nella console di Kaspersky Security Center. L'agente integrato viene quindi gestito tramite la console di Kaspersky Anti Targeted Attack Platform, inclusa l'esecuzione delle attività, la gestione degli oggetti in quarantena, la visualizzazione dei rapporti e altre azioni.
Impostazioni di Endpoint Detection and Response (KATA)
Parametro |
Descrizione |
---|---|
Impostazioni per la connessione ai server KATA |
Timeout (sec). Timeout massimo di risposta del server di Central Node. Allo scadere del timeout, Kaspersky Endpoint Security tenta di connettersi a un altro server Central Node. Certificato TLS del server. Certificato TLS per stabilire una connessione attendibile con il server di Central Node. È possibile ottenere un certificato TLS nella console di Kaspersky Anti Targeted Attack Platform (vedere le istruzioni nel file Guida di Kaspersky Anti Targeted Attack Platform). Usa autenticazione a due vie. Autenticazione bidirezionale quando si stabilisce una connessione sicura tra Kaspersky Endpoint Security e Central Node. Per utilizzare l'autenticazione bidirezionale, è necessario abilitare l'autenticazione bidirezionale nelle impostazioni Central Node, quindi recuperare un contenitore crittografico e impostare una password per proteggerlo. Un contenitore crittografico è un archivio PFX con un certificato e una chiave privata. È possibile ottenere un contenitore crittografico nella console di Kaspersky Anti Targeted Attack Platform (vedere le istruzioni nel file Guida di Kaspersky Anti Targeted Attack Platform). Dopo aver configurato le impostazioni di Central Node, è necessario abilitare anche l'autenticazione bidirezionale nelle impostazioni di Kaspersky Endpoint Security e caricare un contenitore crittografico protetto da password. Il contenitore crittografico deve essere protetto tramite password. Non è possibile aggiungere un contenitore crittografico senza una password. |
Server KATA |
Impostazioni di connessione ai server di Kaspersky Anti Targeted Attack Platform. È possibile immettere un indirizzo IP (IPv4 o IPv6). |
Invia richiesta di sincronizzazione al server KATA ogni (min) |
Frequenza delle richieste di sincronizzazione inviate al server. Durante la sincronizzazione, Kaspersky Endpoint Security invia informazioni sulle attività e le impostazioni dell'applicazione modificate. |
Invia telemetria a KATA |
Questa funzionalità consente di disattivare completamente l'invio dei dati di telemetria al server. Se si utilizza Kaspersky Anti Targeted Attack Platform insieme a un'altra soluzione che usa anch'essa la telemetria, è possibile disattivare la telemetria per KATA (EDR). Ciò consente di ottimizzare il carico del server per queste soluzioni. Ad esempio, se è stata distribuita la soluzione Managed Detection and Response e KATA (EDR), è possibile utilizzare la telemetria MDR e creare attività Risposta alle minacce in KATA (EDR). |
Ritardo di trasmissione eventi massimo (sec) |
L'applicazione si sincronizza con il server per inviare eventi dopo la scadenza dell'intervallo di sincronizzazione. L'impostazione predefinita è 30 secondi. |
Abilita limitazione delle richieste |
Questa funzionalità consente di ottimizzare il carico sul server. Se la casella di controllo è selezionata, l'applicazione limita gli eventi trasmessi. Se il numero di eventi supera i limiti configurati, Kaspersky Endpoint Security interrompe l'invio degli eventi. |
Numero massimo di eventi all'ora |
L'applicazione analizza il flusso di dati di telemetria e limita l'invio degli eventi se il flusso di eventi supera il limite di eventi all'ora configurato. Kaspersky Endpoint Security riprende l'invio degli eventi dopo un'ora. L'impostazione predefinita è 3000 eventi all'ora. Se l'applicazione è installata in un server, il flusso di dati di telemetria è maggiore. Per i server, è consigliabile aumentare il valore a 60.000 eventi all'ora. |
Percentuale di eccedenza limite eventi |
L'applicazione ordina gli eventi in base al tipo (ad esempio, eventi di "Modifiche nel Registro di sistema") e limita la trasmissione degli eventi se il rapporto tra eventi dello stesso tipo e il numero totale di eventi supera il limite percentuale configurato. Kaspersky Endpoint Security riprende l'invio degli eventi quando il rapporto tra altri eventi e il numero totale di eventi diventa di nuovo sufficientemente elevato. L'impostazione predefinita è 15%. |