Endpoint Detection and Response Expert (on-premise)

Endpoint Detection and Response (KATA)

Kaspersky Endpoint Security für Windows unterstützt die Arbeit mit der Komponente Kaspersky Endpoint Detection and Response als Teil der Lösung Kaspersky Anti Targeted Attack Platform (EDR (KATA)). Die Lösung Kaspersky Anti Targeted Attack Platform dient der rechtzeitigen Erkennung komplexer Bedrohungen. Dazu zählen beispielsweise gezielte Angriffe, hoch entwickelte hartnäckige Bedrohungen (APT, Advanced Persistent Threat) und Zero-Day-Angriffe. Kaspersky Anti Targeted Attack Platform umfasst drei Funktionseinheiten:

Sie können alle Funktionseinheiten oder einzelne Funktionseinheiten separat erwerben. Einzelheiten über diese Lösung finden Sie in der Hilfe zu „Kaspersky Anti Targeted Attack Platform“.

Kaspersky Endpoint Security wird auf den einzelnen Computern einer IT-Unternehmensinfrastruktur installiert und überwacht kontinuierlich Prozesse, offene Netzwerkverbindungen und geänderte Dateien. Informationen über Ereignisse auf dem Computer (Telemetriedaten) werden an den Kaspersky Anti Targeted Attack Platform-Server gesendet. In diesem Fall sendet Kaspersky Endpoint Security an den Kaspersky Anti Targeted Attack Platform-Server auch Informationen über die von der App erkannten Bedrohungen sowie Informationen über die Verarbeitungsergebnisse dieser Bedrohungen.

Die Integration von EDR (KATA) und NDR (KATA) wird in der Kaspersky Security Center-Konsole konfiguriert. Anschließend wird der integrierte Agent über die Kaspersky Anti Targeted Attack Platform-Konsole verwaltet, was sich beispielsweise auch auf folgende Vorgänge bezieht: Aufgaben ausführen, Objekten in der Quarantäne verwalten und Berichte anzeigen.

Endpoint Detection and Response Expert (on-premise)

Die Integration von Kaspersky Endpoint Security in die Lösung Kaspersky Endpoint Detection and Response Expert (on-premise) wird in Kürze verfügbar sein. Kaspersky Endpoint Detection and Response Expert (on-premise) ist eine Cybersicherheits-Lösung für Unternehmen. Mit den darin enthaltenen Kaspersky-Programmen kann sich ein Unternehmen vor den meisten Arten von Cyber-Risiken schützen und die wichtigsten Verbreitungsszenarien für Bedrohungen abdecken. Die Komponenten von EDR Expert (on-premise) werden auf der Open Single Management Platform (OSMP) bereitgestellt. Diese Funktionalität wird planmäßig bis Ende 2025 unterstützt. Bitte beachten Sie unsere Versionshinweise. Dort finden Sie aktuelle Informationen über Programm-Upgrades und neue Funktionen.

Einstellungen für Endpoint Detection and Response Expert (on-premise)

Einstellung

Beschreibung

Einstellungen der Verbindung zu KATA-Servern/Einstellungen der Verbindung zu KUMA-Servern

Konfigurieren Sie die folgenden Einstellungen für die Verbindung zum KATA-Server:

  • Timeout (Sek). Maximale Zeitüberschreitung für die Antwort von Central Node. Nach Ablauf des Timeouts versucht Kaspersky Endpoint Security, sich mit einem anderen Central Node-Server zu verbinden.
  • TLS-Serverzertifikat. TLS-Zertifikat zum Herstellen einer vertrauenswürdigen Verbindung mit dem Central Node-Server. Ein TLS-Zertifikat können Sie in der Konsole von Kaspersky Anti Targeted Attack Platform anfordern (siehe Anleitung in der Hilfe zu Kaspersky Anti Targeted Attack Platform).
  • Zwei-Wege-Authentifizierung verwenden. Zwei-Wege-Authentifizierung beim Aufbau einer sicheren Verbindung zwischen Kaspersky Endpoint Security und dem Central Node-Server. Um die Zwei-Wege-Authentifizierung zu verwenden, müssen Sie die Zwei-Wege-Authentifizierung in den Einstellungen des Central Node-Servers aktivieren, dann einen Krypto-Container anfordern und ein Kennwort festlegen, um den Krypto-Container zu schützen. Ein Krypto-Container ist ein PFX-Archiv mit einem Zertifikat und einem privaten Schlüssel. Einen Krypto-Container können Sie in der Konsole von Kaspersky Anti Targeted Attack Platform anfordern (siehe Anleitung in der Hilfe zu Kaspersky Anti Targeted Attack Platform). Nachdem Sie die Central Node-Einstellungen konfiguriert haben, müssen Sie die Zwei-Wege-Authentifizierung in den Einstellungen von Kaspersky Endpoint Security aktivieren und einen kennwortgeschützten Krypto-Container laden.

Der Krypto-Container muss kennwortgeschützt sein. Ein Krypto-Container mit einem leeren Passwort kann nicht hinzugefügt werden.

KATA-Server/Server für Telemetrie-Erfassung

Verbindungseinstellungen für die Kaspersky Anti Targeted Attack Platform-Server. Sie können eine IP-Adresse eingeben (IPv4 oder IPv6).

Sie können mehrere Serveradressen für Central Node hinzufügen. Kaspersky Endpoint Security versucht, sich über die erste IP-Adresse mit dem Server zu verbinden. Wenn keine Verbindung hergestellt werden kann, versucht Kaspersky Endpoint Security eine Verbindung mit der zweiten IP-Adresse in der Liste und so weiter.

Synchronisierungsanfrage an KATA-Server senden alle (Min.)

Häufigkeit der an den Server gesendeten Synchronisierungsanfragen. Während der Synchronisierung sendet Kaspersky Endpoint Security Informationen über geänderte Einstellungen und Aufgaben der App.

Telemetriedaten an KATA senden / Telemetriedaten an KUMA senden

Mit dieser Funktionalität können Sie das Senden von Telemetriedaten an den KATA-Server vollständig deaktivieren. Wenn Sie beispielsweise Kaspersky Anti Targeted Attack Platform zusammen mit einer anderen Lösung verwenden, die ebenfalls Telemetrie verwendet, können Sie die Telemetrie für KATA (EDR) deaktivieren. Dadurch lässt sich die Serverlast für diese Lösungen optimieren. Wenn Sie die Managed Detection and Response-Lösung und KATA (EDR) bereitgestellt haben, können Sie MDR-Telemetrie verwenden und Threat Response-Aufgaben in KATA (EDR) erstellen.

Nur Telemetrie mit IOA senden

(nur für Endpoint Detection and Response (KATA) verfügbar)

Dies ermöglicht, die Telemetrie zu optimieren und nur Telemetrie mit IOA zu senden. Ein Angriffsindikator (IOA) ist eine Regel, die ein verdächtiges Verhalten im System beschreibt. Solches Verhaltens kann auf einen gezielten Angriff hinweisen. Das Programm vergleicht das aktuelle Verhalten im System mit diesen Regeln und protokolliert Ereignisse, die auf einen gezielten Angriff hindeuten. Das Programm verwendet die Technologie Streaming-Scan, um solche Ereignisse in Echtzeit zu verfolgen.

Maximale Verzögerung der Ereignisübertragung (Sek.)

Die App synchronisiert sich mit dem Server, um Ereignisse nach Ablauf des Synchronisierungsintervalls zu senden. Der Standardwert ist 30 Sekunden.

Begrenzung aktivieren

Durch diese Funktion wird die Auslastung des Computers optimiert. Ist das Kontrollkästchen aktiviert, schränkt die App die übertragenen Ereignisse ein. Wenn die Anzahl der Ereignisse die festgelegten Grenzwerte überschreitet, beendet Kaspersky Endpoint Security das Senden von Ereignissen.

Maximale Anzahl von Ereignissen pro Stunde

Die App analysiert den Telemetriedatenstrom und schränkt das Senden von Ereignissen ein, wenn der Ereignisstrom das festgelegte Limit für Ereignisse pro Stunde überschreitet. Kaspersky Endpoint Security setzt das Senden von Ereignissen nach einer Stunde fort. Die Standardeinstellung ist 3.000 Ereignisse pro Stunde. Wenn die App auf einem Server installiert ist, ist der Telemetrie-Datenstrom höher. Für Server wird empfohlen, den Wert auf 60.000 Ereignisse pro Stunde zu erhöhen.

Prozentsatz für die Überschreitung des Ereignislimits

Die App sortiert Ereignisse nach Typ (z. B. Ereignisse des Typs „Änderungen in der Registrierung“) und schränkt die Übertragung von Ereignissen ein, wenn das Verhältnis von Ereignissen desselben Typs zur Gesamtzahl von Ereignissen den in Prozent festgelegten Grenzwert überschreitet. Kaspersky Endpoint Security setzt das Senden von Ereignissen fort, wenn das Verhältnis der anderen Ereignisse zur Gesamtzahl der Ereignisse wieder dem Grenzwert entspricht. Die Standardeinstellung ist 15%.

Siehe auch

Integration des integrierten Agenten in EDR / NDR (KATA)

Telemetrie konfigurieren
Nach oben