Endpoint Detection and Response (KATA)
A Kaspersky Endpoint Security 12.1.-es verziója már tartalmaz egy beépített ügynököt a Kaspersky Endpoint Detection and Response összetevő kezelésére a Kaspersky Anti Targeted Attack Platform megoldás részeként. A Kaspersky Anti Targeted Attack Platform egy megoldás, ami a kifinomult fenyegetések, például célzott támadások és speciális, állandó veszélyek (APT), valamint nagy kockázatú veszélyforrások időszerű észlelésére szolgál. A Kaspersky Célzott Támadások Elleni Platform két blokkot foglal magába: Kaspersky Célzott Támadások Elleni Platform (a továbbiakban „KATA”) és a Kaspersky Endpoint Észlelés és válasz (a továbbiakban „EDR (KATA)”). A EDR (KATA) külön vásárolható meg. A megoldás részleteivel kapcsolatos információért lásd a Kaspersky Célzott Támadások Elleni Platform útmutatót.
A Kaspersky Endpoint Security a vállalati IT-infrastruktúra egyes számítógépeire van telepítve, és folyamatosan figyeli a folyamatokat, a nyitott hálózati kapcsolatokat és a módosítás alatt álló fájlokat. A számítógépen zajló eseményekkel kapcsolatos információk (telemetriai adatok) elküldésre kerülnek a Kaspersky Anti Targeted Attack Platform kiszolgálóra. Ebben az esetben a Kaspersky Endpoint Security információkat küld a Kaspersky Anti Targeted Attack Platform kiszolgálónak az alkalmazás által észlelt fenyegetésekről, valamint az ilyen fenyegetések feldolgozási eredményeiről is.
A EDR (KATA) integráció a Kaspersky Security Center konzolon van konfigurálva. A beépített ügynök ezután a Kaspersky Anti Targeted Attack Platform konzol segítségével kezelhető, beleértve a feladatok futtatását, a karanténba helyezett objektumok kezelését, a jelentések megtekintését és az egyéb műveleteket.
Az Endpoint Detection and Response (KATA) beállításai
Paraméter | Leírás |
|---|---|
Settings for connecting to KATA servers | Timeout. A Central Node kiszolgálójának maximális válaszideje. Amikor lejár az időkorlát, a Kaspersky Endpoint Security megpróbál csatlakozni egy másik Central Node-kiszolgálóhoz. Server TLS certificate. TLS-tanúsítvány a Central Node-kiszolgálóval való megbízható kapcsolat létrehozásához. A TLS-tanúsítványt beszerezheti a Kaspersky Anti Targeted Attack Platform konzolon (az utasításokat a Kaspersky Anti Targeted Attack Platform Súgóban találja). Use two-way authentication. Kétirányú hitelesítés a Kaspersky Endpoint Security és a Central Node közötti biztonságos kapcsolat létrehozásakor. A kétirányú hitelesítés használatához engedélyeznie kell a kétirányú hitelesítést a Central Node beállításaiban, majd be kell szereznie egy kriptotárolót, és be kell állítania egy jelszót a kriptotároló védelméhez. A kriptotároló egy PFX archívum tanúsítvánnyal és privát kulccsal. A kriptotárolót beszerezheti a Kaspersky Anti Targeted Attack Platform konzolon (az utasításokat a Kaspersky Anti Targeted Attack Platform Súgóban találja). A Central Node beállításainak konfigurálása után engedélyeznie kell a kétirányú hitelesítést is a Kaspersky Endpoint Security beállításaiban, és be kell töltenie egy jelszóval védett kriptotárolót. A kriptotárolót jelszóval kell védeni. Üres jelszóval nem lehet kriptotárolót hozzáadni. |
KATA servers | Központi csomópont-kiszolgáló kapcsolódási beállításai. Megadhat egy IP-címet (IPv4 vagy IPv6). |
Send sync request to KATA server every (min) | A központi csomópont-kiszolgálónak küldött szinkronizálási kérések gyakorisága. A szinkronizálás során a Kaspersky Endpoint Security információkat küld a módosított alkalmazásbeállításokról és feladatokról. |
Telemetriai adatok küldése a KATA számára | Ezzel a funkcióval teljesen kikapcsolhatja a telemetriai adatok kiszolgálóra való küldését. Ha a Kaspersky Anti Targeted Attack Platformot egy másik, szintén telemetriát használó megoldással együtt használja, kikapcsolhatja a KATA (EDR) telemetriáját. Ez lehetővé teszi a kiszolgálói terhelés optimalizálását ezekhez a megoldásokhoz. Ha például telepítette a Managed Detection and Response megoldást és a KATA (EDR) megoldást, használhatja az MDR-telemetriát, és létrehozhat Fenyegetésekre adott válasz típusú feladatokat a KATA (EDR) megoldásban. |
Maximum events transmission delay (sec) | Az alkalmazás szinkronizál a kiszolgálóval, hogy a szinkronizálási intervallum lejárta után eseményeket küldjön. Az alapértelmezett beállítás 30 másodperc. |
Enable request throttling | Ez a funkció segíti a kiszolgáló terhelésének optimalizálását. Ha a jelölőnégyzet be van jelölve, az alkalmazás korlátozza a továbbított eseményeket. Ha az események száma meghaladja a beállított korlátokat, a Kaspersky Endpoint Security leállítja az események küldését. |
Maximum number of events per hour | Az alkalmazás elemzi a telemetriai adatfolyamot, és korlátozza az események küldését, ha az eseményfolyam meghaladja a konfigurált események óránkénti korlátját. A Kaspersky Endpoint Security egy óra elteltével folytatja az események küldését. Az alapértelmezett beállítás óránként 3000 esemény. |
Percentage of event limit excess | Az alkalmazás típusok szerint rendezi az eseményeket (például "Változások a beállításjegyzékben" események), és korlátozza az események továbbítását, ha az azonos típusú események aránya az események teljes számához viszonyítva meghaladja a beállított százalékos korlátot. A Kaspersky Endpoint Security akkor folytatja az események küldését, amikor a többi esemény aránya az események teljes számához képest ismét elég nagy lesz. Az alapértelmezett beállítás 15%. |