Kaspersky Endpoint Detection and Response (KATA) (EDR (KATA)) 是 Kaspersky Anti Targeted Attack Platform 解决方案的一个组件,旨在保护组织的 IT 基础设施并迅速检测威胁,例如零日攻击、针对性攻击和高级持续性威胁 (APT)。要了解更多信息,请查看 Kaspersky Anti Targeted Attack Platform 帮助。
当与 EDR (KATA) 交互时,Kaspersky Endpoint Security 可能会将有关设备上事件的数据(遥测数据)发送到具有中央节点组件(“KATA 服务器”)的 Kaspersky Anti Targeted Attack Platform 服务器,并执行来自 Kaspersky Anti Targeted Attack Platform 的命令以提供安全保障。
KESL 容器不支持此功能。
不支持通过 Kaspersky Security Center 云控制台管理 EDR (KATA) 的集成设置。
要与 EDR (KATA) 集成,必须启用行为检测组件。
仅当启用这些组件时,Kaspersky Endpoint Security 才能与 EDR (KATA) 集成。否则,无法传输所需的遥测数据。
EDR (KATA) 还可以使用从以下组件接收的数据:
在与 EDR (KATA) 集成期间,具有 Kaspersky Endpoint Security 的设备会通过 HTTPS 协议与 KATA 服务器建立安全连接。为确保安全连接,使用 KATA 服务器颁发的以下证书:
用于保护与 KATA 服务器的连接的证书由 Kaspersky Anti Targeted Attack Platform 管理员提供。
如果在 Kaspersky Endpoint Security 的常规应用程序设置中配置了使用代理服务器,则使用代理服务器连接到 KATA 服务器。
Kaspersky Endpoint Detection and Response (KATA) 集成设置
设置 |
描述 |
|---|---|
启用/禁用与 Endpoint Detection and Response (KATA) 集成 |
启用或禁用 Kaspersky Endpoint Security 与 EDR (KATA) 的集成。 默认情况下,禁用 Integration Server。 |
服务器连接设置 |
单击模块中的“配置”按钮将打开一个窗口,在其中可以配置连接到 KATA 服务器的常规设置,添加服务器证书,并配置连接到 KATA 服务器时的双向身份验证。 |
KATA 服务器 |
该表包含配置了连接的 KATA 服务器的列表。 “添加”按钮将打开一个窗口,在其中可以配置与 KATA 服务器的连接。 您可以使用表格上方的按钮来编辑和删除以前配置的连接设置。 |
发送事件时的最大延时(秒) |
向 KATA 服务器发送事件的最大延迟(以秒为单位)。 默认值为 |
启用事件限制 |
启用或禁用调节发送到 KATA 服务器的事件数。 |
每小时的最大事件数量 |
每小时的最大事件数量 默认值为 |
事件限制阈值(百分比) |
事件限制阈值(百分比)。如果一种类型的事件(例如,有关注册表更改的事件)占事件总数的比例超过设置的阈值(以百分比表示),则发送事件将受到限制。 默认值为 |