Kaspersky Endpoint Detection and Response (KATA) (EDR (KATA)) 是 Kaspersky Anti Targeted Attack Platform 解决方案的一个组件,旨在保护组织的 IT 基础设施并迅速检测威胁,例如零日攻击、针对性攻击和高级持续性威胁 (APT)。要了解更多信息,请查看 Kaspersky Anti Targeted Attack Platform 帮助部分。
与 EDR (KATA) 交互时,Kaspersky Endpoint Security 可以执行以下功能:
Kaspersky Endpoint Detection and Response (KATA) 集成任务允许您配置和启用 Kaspersky Endpoint Security 应用程序与 EDR (KATA) 组件的集成。您还可以使用 Kaspersky Security Center 管理控制台和 Kaspersky Security Center Web Console 管理 Kaspersky Endpoint Security 与 EDR (KATA) 的集成。
不支持通过 Kaspersky Security Center 云控制台管理 EDR (KATA) 的集成设置。
要与 EDR (KATA) 集成,必须启动行为检测任务。
只有启动该任务后,才能将 Kaspersky Endpoint Security 与 EDR (KATA) 集成。否则,无法传输所需的遥测数据。
EDR (KATA) 还可以使用从以下任务接收的数据:
在与 EDR (KATA) 集成期间,具有 Kaspersky Endpoint Security 的设备会通过 HTTPS 协议与 KATA 服务器建立安全连接。为确保安全连接,使用 KATA 服务器颁发的以下证书:
用于保护与 KATA 服务器的连接的证书由 Kaspersky Anti Targeted Attack Platform 管理员提供。
如果在 Kaspersky Endpoint Security 的常规应用程序设置中配置了使用代理服务器,则使用代理服务器连接到 KATA 服务器。
如果 Kaspersky Endpoint Security 与 Kaspersky Anti Targeted Attack Platform 集成,可以将大量事件写入 systemd 日志。如果要禁用将审计事件记录到 systemd 日志,请禁用 systemd-journald-audit 套接字并重新启动操作系统。
要禁用 systemd-journald-audit 套接字,请运行以下命令:
systemctl stop systemd-journald-audit.socket
systemctl disable systemd-journald-audit.socket
systemctl mask systemd-journald-audit.socket