Kaspersky Endpoint Security for Windows obsługuje zarządzanie komponentem Kaspersky Endpoint Detection and Response w ramach rozwiązania Kaspersky Anti Targeted Attack Platform (EDR (KATA)). Kaspersky Anti Targeted Attack Platform to rozwiązanie zaprojektowane w celu szybkiego wykrywania złożonych zagrożeń, takich jak ataki ukierunkowane, zaawansowane trwałe zagrożenia (APT), ataki zero-day i inne. Kaspersky Anti Targeted Attack Platform składa się z trzech jednostek funkcjonalnych:
Można zakupić wszystkie jednostki funkcjonalne lub poszczególne jednostki funkcjonalne osobno. Szczegółowe informacje na temat rozwiązania można znaleźć w systemie pomocy dla Kaspersky Anti Targeted Attack Platform.
Aplikacja Kaspersky Endpoint Security jest instalowana na pojedynczych komputerach w korporacyjnej infrastrukturze IT i cały czas monitoruje procesy, otwiera połączenia sieciowe i modyfikowane pliki. Informacje o zdarzeniach na komputerze (dane telemetryczne) są wysyłane na serwer Kaspersky Anti Targeted Attack Platform. W takim przypadku Kaspersky Endpoint Security wysyła również informacje do serwera Kaspersky Anti Targeted Attack Platform o zagrożeniach wykrytych przez aplikację oraz informacje o wynikach przetwarzania tych zagrożeń.
Integracja EDR (KATA) i NDR (KATA) jest konfigurowana na konsoli Kaspersky Security Center. Wbudowany agent jest następnie zarządzany przy użyciu konsoli Kaspersky Anti Targeted Attack Platform, w tym uruchamianie zadań, zarządzanie obiektami poddanymi kwarantannie, przeglądanie raportów i inne działania.
Ustawienia Endpoint Detection and Response (KATA)
Parametr |
Opis |
---|---|
Ustawienia na potrzeby łączenia z serwerami KATA |
Limit czasu (sek). Maksymalny limit czasu odpowiedzi serwera węzła centralnego. Po przekroczeniu limitu czasu Kaspersky Endpoint Security próbuje połączyć się z innym serwerem węzła centralnego. Certyfikat TLS serwera. Certyfikat TLS do nawiązania zaufanego połączenia z serwerem Central Node. Możesz uzyskać certyfikat TLS w konsoli Kaspersky Anti Targeted Attack Platform (zobacz instrukcje w Pomoc Kaspersky Anti Targeted Attack Platform). Zastosuj uwierzytelnianie dwukierunkowe. Uwierzytelnianie dwukierunkowe podczas nawiązywania bezpiecznego połączenia między Kaspersky Endpoint Security a węzłem centralnym. Aby korzystać z uwierzytelniania dwukierunkowego, musisz włączyć uwierzytelnianie dwukierunkowe w ustawieniach węzła centralnego, a następnie uzyskać kryptokontener i ustawić hasło chroniące kryptokontener. Kontener kryptograficzny to archiwum PFX z certyfikatem i kluczem prywatnym. Kontener kryptograficzny można uzyskać w konsoli Kaspersky Anti Targeted Attack Platform (zobacz instrukcje w pliku Pomoc Kaspersky Anti Targeted Attack Platform). Po skonfigurowaniu ustawień węzła centralnego należy również włączyć uwierzytelnianie dwukierunkowe w ustawieniach Kaspersky Endpoint Security i załadować chroniony hasłem kontener kryptograficzny. Kontener szyfrowania musi być zabezpieczony hasłem. Nie ma możliwości dodania kontenera szyfrowania z pustym hasłem. |
Serwery KATA |
Ustawienia połączenia z serwerami Kaspersky Anti Targeted Attack Platform. Możesz wprowadzić adres IP (IPv4 lub IPv6). |
Wysyłaj żądanie synchronizacji z serwerem KATA co (min) |
Częstotliwość żądań synchronizacji wysyłanych do serwera. Podczas synchronizacji Kaspersky Endpoint Security wysyła informacje o zmodyfikowanych ustawieniach i zadaniach aplikacji. |
Wyślij dane telemetryczne do KATA |
Ta funkcja pozwala całkowicie wyłączyć przesyłanie danych telemetrycznych do serwera. Jeśli używasz Kaspersky Anti Targeted Attack Platform wraz z innym rozwiązaniem, które również wykorzystuje telemetrię, możesz wyłączyć telemetrię dla KATA (EDR). Pozwala to zoptymalizować obciążenie serwera dla tych rozwiązań. Na przykład, jeśli masz wdrożone rozwiązanie Managed Detection and Response i KATA (EDR), możesz użyć telemetrii MDR i utworzyć zadania Threat Response w KATA (EDR). |
Maksymalne opóźnienie transmisji zdarzenia (s) |
Aplikacja synchronizuje się z serwerem w celu wysyłania zdarzeń po wygaśnięciu przedziału synchronizacji. Domyślnie ustawienie to 30 sekund. |
Włącz ograniczanie żądań |
Ta funkcja pomaga zoptymalizować obciążenie serwera. Jeśli to pole jest zaznaczone, aplikacja ogranicza transmitowane zdarzenia. Jeśli liczba zdarzeń przekroczy skonfigurowane limity, Kaspersky Endpoint Security przestanie wysyłać zdarzenia. |
Maksymalna liczba zdarzeń na godzinę |
Aplikacja analizuje strumień danych telemetrycznych i ogranicza wysyłanie zdarzeń, jeśli strumień zdarzeń przekroczy skonfigurowany limit zdarzeń na godzinę. Kaspersky Endpoint Security wznawia wysyłanie zdarzeń po godzinie. Ustawienie domyślne to 3000 zdarzeń na godzinę. Jeżeli aplikacja jest zainstalowana na serwerze, strumień danych telemetrycznych jest większy. W przypadku serwerów zaleca się zwiększenie wartości do 60 000 zdarzeń na godzinę. |
Procent przekroczenia limitu zdarzeń |
Aplikacja sortuje zdarzenia według typu (np. zdarzenia „zmiany w rejestrze”) i ogranicza transmisję zdarzeń, jeśli stosunek zdarzeń tego samego typu do całkowitej liczby zdarzeń przekroczy skonfigurowany limit w procentach. Kaspersky Endpoint Security wznawia wysyłanie zdarzeń, gdy stosunek innych zdarzeń do łącznej liczby zdarzeń ponownie stanie się wystarczająco duży. Ustawienie domyślne to 15%. |