Kaspersky Endpoint Security для Windows поддерживает работу с компонентом Kaspersky Endpoint Detection and Response в составе решения Kaspersky Anti Targeted Attack Platform (EDR (KATA)). Kaspersky Anti Targeted Attack Platform – решение, предназначенное для своевременного обнаружения сложных угроз, таких как целевые атаки, сложные постоянные угрозы (англ. Advanced Persistent Threat, APT), атаки "нулевого дня" и другие. Kaspersky Anti Targeted Attack Platform включает в себя три функциональных блока:
Вы можете приобрести все функциональные блоки или приобрести функциональные блоки по отдельности. Подробнее о решении см. в справке Kaspersky Anti Targeted Attack Platform.
Приложение Kaspersky Endpoint Security устанавливается на отдельных компьютерах, входящих в IT-инфраструктуру организации, и осуществляет постоянное наблюдение за процессами, открытыми сетевыми соединениями и изменяемыми файлами. Данные о событиях на компьютере (телеметрия) отправляются на сервер Kaspersky Anti Targeted Attack Platform. Приложение Kaspersky Endpoint Security также передает на сервер Kaspersky Anti Targeted Attack Platform данные об угрозах, обнаруженных приложением, и данные о результатах обработки этих угроз.
Настройка интеграции с EDR (KATA) и NDR (KATA) выполняется в консоли Kaspersky Security Center. Дальнейшее управление встроенным агентом осуществляется в консоли Kaspersky Anti Targeted Attack Platform, включая запуск задач, управление объектами на карантине, просмотр отчетов и другие действия.
Параметры Network Detection and Response (KATA)
Параметр |
Описание |
|---|---|
Настройки подключения к серверам |
Время ожидания. Максимальное время ожидания ответа от сервера Central Node. По истечению времени ожидания Kaspersky Endpoint Security пытается подключиться к другому серверу Central Node. TLS-сертификат сервера. TLS-сертификат для установки доверенного соединения с сервером Central Node. Вы можете получить TLS-сертификат в консоли Kaspersky Anti Targeted Attack Platform (см. инструкцию в справке Kaspersky Anti Targeted Attack Platform). Использовать двустороннюю аутентификацию. Двусторонняя аутентификация при установлении безопасного соединения между Kaspersky Endpoint Security и Central Node. Для использования двусторонней аутентификации вам нужно в параметрах Central Node включить функцию двусторонней аутентификации, далее получить криптоконтейнер и установить пароль для защиты криптоконтейнера. Криптоконтейнер – PFX-архив с сертификатом и закрытым ключом агента. Вы можете получить криптоконтейнер в консоли Kaspersky Anti Targeted Attack Platform (см. инструкцию в справке Kaspersky Anti Targeted Attack Platform). После настройки параметров Central Node вам нужно в параметрах Kaspersky Endpoint Security также включить функцию двусторонней аутентификации и загрузить защищенный паролем криптоконтейнер. Криптоконтейнер должен быть защищен паролем. Добавить криптоконтейнер с пустым паролем невозможно. |
Адрес и Порт |
Параметры подключения к серверам Kaspersky Anti Targeted Attack Platform. Вы можете ввести IP-адрес (IPv4 или IPv6). |
Отправлять запрос на синхронизацию на сервер NDR каждые (мин.) |
Период отправки запросов на синхронизацию с сервером. Во время синхронизации Kaspersky Endpoint Security передает данные об изменениях в параметрах приложения и задачах. |
Максимальная задержка отправки событий (сек.) |
Приложение выполняет синхронизацию с сервером для передачи событий по истечению периода синхронизации. По умолчанию установлено значение 30 секунд. |
Включить регулирование количества запросов |
Функция позволяет оптимизировать нагрузку на сервер. Если флажок установлен, приложение будет ограничивать передачу событий. Если количество событий превышает установленные ограничения, Kaspersky Endpoint Security прекращает отправлять события. |
Максимальное количество событий в час |
Приложение анализирует поток данных телеметрии и ограничивает передачу событий, если поток передаваемых событий превышает установленное ограничение в час. Kaspersky Endpoint Security восстанавливает передачу событий по истечению часа. По умолчанию установлено значение 3000 событий в час. Если приложение установлено на сервер, поток данных телеметрии выше. Для серверов рекомендуется увеличить значение до 60 тыс. событий в час. |
Процент превышения лимита событий |
Приложение сортирует события по типу (например, события изменений в реестре) и ограничивает передачу событий, если соотношение однотипных событий к общему количеству событий превышает установленное ограничение в процентах. Kaspersky Endpoint Security восстанавливает отправку событий, когда соотношение других событий к общему количеству событий увеличится. По умолчанию установлено значение 15 %. |