Интеграция с Kaspersky Anti Targeted Attack Platform

Приложение Kaspersky Endpoint Security совместимо с решением Kaspersky Anti Targeted Attack Platform, которое предназначено для защиты ИТ-инфраструктуры организации и своевременного обнаружения таких угроз, как атаки "нулевого дня", целевые атаки и сложные целевые атаки advanced persistent threats (далее также "APT"). Подробнее о решении см. в справке Kaspersky Anti Targeted Attack Platform.

Приложение Kaspersky Endpoint Security может интегрироваться со следующими компонентами, входящими в состав решения Kaspersky Anti Targeted Attack Platform:

• Kaspersky Endpoint Detection and Response (KATA) обеспечивает защиту устройств в локальной сети организации. При интеграции с Kaspersky Endpoint Detection and Response (KATA) приложение Kaspersky Endpoint Security может выполнять следующие функции:
  • Отправлять данные о событиях на устройствах (телеметрию) на сервер с компонентом Central Node, обеспечивающий взаимодействие с Kaspersky Endpoint Detection and Response (KATA) (далее также сервер KATA). Приложение Kaspersky Endpoint Security передает на сервер KATA данные наблюдения за процессами, открытыми сетевыми соединениями и изменяемыми файлами, а также данные об угрозах, обнаруженных приложением, и данные о результатах обработки этих угроз.
  • Выполнять ответные действия, направленные на обеспечение функций безопасности, по командам, полученным от Kaspersky Anti Targeted Attack Platform.
• Kaspersky Network Detection and Response (KATA) обеспечивает защиту внутренней сети предприятия. При интеграции с Kaspersky Network Detection and Response (KATA) приложение Kaspersky Endpoint Security может отправлять данные о событиях на устройствах (телеметрию) на сервер, обеспечивающий взаимодействие с Kaspersky Network Detection and Response (KATA) (далее также сервер NDR).
• KATA Sandbox выполняет анализ и проверку объектов для выявления вредоносной активности и признаков целевых атак на ИТ-инфраструктуру организации на специальных серверах с развернутыми виртуальными образами операционных систем. При интеграции с KATA Sandbox приложение Kaspersky Endpoint Security может отправлять файлы на проверку на сервер с компонентом Central Node, обеспечивающий взаимодействие с KATA Sandbox (далее также сервер Sandbox).

Интеграцию с этими компонентами решения Kaspersky Endpoint Detection and Response (KATA) обеспечивают следующие компоненты приложения Kaspersky Endpoint Security:

• компонент Endpoint Detection and Response (KATA) (далее также EDR (KATA));
• компонент Network Detection and Response (KATA) (далее также NDR (KATA));
• компонент Sandbox.

Вы можете настроить интеграцию приложения Kaspersky Endpoint Security как со всеми компонентами решения Kaspersky Anti Targeted Attack Platform, так и с каждым компонентом по отдельности.

Для интеграции с компонентами Kaspersky Anti Targeted Attack Platform вам нужно активировать решение Kaspersky Anti Targeted Attack Platform (см. подробнее в справке решения). Активировать компоненты приложения Kaspersky Endpoint Security, обеспечивающие интеграцию, не требуется, основные лицензии Kaspersky Endpoint Security включают в себя эту функциональность.

Для полноценной интеграции приложения Kaspersky Endpoint Security с Kaspersky Anti Targeted Attack Platform требуется включить компонент Анализ поведения. Если Анализ поведения выключен, необходимые данные телеметрии не передаются (кроме запросов на синхронизацию и данных об обнаружении угроз от других компонентов защиты).

При использовании механизма eBPF для получения системной телеметрии в компоненте Анализ поведения (доступный на 64-битных операционных системах с версией ядра 5.3 и выше с поддержкой eBPF) данные телеметрии будут более полными.

Компоненты EDR (KATA) и NDR (KATA) могут использовать данные, полученные от следующих компонентов:

• Защита от файловых угроз.
• Защита от сетевых угроз.
• Защита от веб-угроз.
• Защита от шифрования.
• Контроль приложений.
• Контроль устройств.
• Контроль целостности системы.

Во время интеграции с решением Kaspersky Anti Targeted Attack Platform устройства с Kaspersky Endpoint Security устанавливают защищенные соединения с сервером KATA/NDR/Sandbox по протоколу HTTPS. Для обеспечения безопасности соединения используются следующие сертификаты, выданные cервером KATA/NDR/Sandbox:

• Сертификат сервера KATA/NDR/Sandbox. Соединение шифруется с помощью TLS-сертификата сервера. Вы можете повысить уровень безопасности соединения, включив проверку сертификата сервера на стороне Kaspersky Endpoint Security. Для этого вам нужно добавить сертификат сервера KATA/NDR/Sandbox перед включением интеграции с решением Kaspersky Anti Targeted Attack Platform.
• Сертификат клиента. Этот сертификат используется для дополнительной защиты подключения с помощью двусторонней аутентификации (то есть проверки устройств с приложением Kaspersky Endpoint Security сервером KATA/NDR/Sandbox). Один и тот же сертификат клиента может использоваться несколькими устройствами. По умолчанию сервер KATA/NDR/Sandbox не выполняет проверку сертификатов клиентов, но двусторонняя аутентификация может быть включена на стороне Kaspersky Anti Targeted Attack Platform. В этом случае вам нужно включить двустороннюю аутентификацию в параметрах интеграции с компонентом Kaspersky Endpoint Detection and Response (KATA), Kaspersky Network Detection and Response (KATA) или KATA Sandbox и добавить сертификат клиента (криптоконтейнер с сертификатом и закрытым ключом).

Сертификаты для защиты соединения с сервером KATA/NDR/Sandbox предоставляет администратор Kaspersky Anti Targeted Attack Platform.

Для подключения к серверу KATA/NDR/Sandbox используется прокси-сервер, если использование прокси-сервера настроено в общих параметрах приложения Kaspersky Endpoint Security.

По умолчанию интеграция с компонентами решения Kaspersky Anti Targeted Attack Platform выключена. Вы можете включать и выключать интеграцию, а также настраивать параметры интеграции с помощью командной строки, Web Console и Консоли администрирования. При интеграции с любым из компонентов решения Kaspersky Anti Targeted Attack Platform вы можете:

• Настраивать общие параметры подключения к серверам KATA/NDR/Sandboх.
• Добавлять и удалять сертификаты серверов KATA/NDR/Sandboх.
• Настраивать двустороннюю аутентификацию при подключении к серверам KATA/NDR/Sandboх и добавлять сертификаты клиента.
• Настраивать параметры отправки событий.

При интеграции с Kaspersky Endpoint Detection and Response (KATA) вы также можете:

• Включать и выключать отправку телеметрии.
• Включать и выключать применение правил запрета запуска объектов компонента EDR (KATA).

В этом разделе Настройка EDR (KATA) / NDR (KATA) в Web Console Настройка EDR (KATA) / NDR (KATA) в Консоли администрирования Настройка EDR (KATA) / NDR (KATA) в командной строке Настройка интеграции с KATA Sandbox в Web Console Настройка интеграции с KATA Sandbox в командной строке

В начало