Endpoint Detection and Response Expert (on-premise)

Kaspersky Endpoint Security pro systém Windows podporuje integraci s řešením Managed Detection and Response Expert (on-premise). Kaspersky Endpoint Detection and Response Expert (on-premise) je podnikové řešení kybernetické bezpečnosti zahrnující aplikace společnosti Kaspersky, které umožňují organizaci bránit se před většinou typů kybernetických rizik a pokrývají nejdůležitější scénáře šíření hrozeb. Součásti EDR Expert (on-premise) jsou nasazeny na otevřené platformě OSMP (Open Single Management Platform). Tato platforma spouští scénáře pro různé platformy v jediném rozhraní a umožňuje integrovat aplikace Kaspersky s aplikacemi třetích stran do komplexního systému zabezpečení.

Jedním z ústředních prvků řešení je SIEM. SIEM sleduje události pocházející ze všech součástí a uvádí tyto události do vzájemného vztahu pomocí pravidel definovaných dodavatelem a uživatelem. EDR Expert (on-premise) se dívá na protokoly a telemetrii přijaté z podnikové infrastruktury za účelem automatického zjišťování útoků a umožňuje vyšetřovat incidenty pomocí jednotného grafu vyšetřování, který kombinuje všechny události shromážděné v aplikaci EDR Expert (on-premise), včetně událostí z aplikací společnosti Kaspersky a produkty pro zabezpečení informací třetích stran.

Pro reakci na pokročilé incidenty používá EDR Expert (on-premise) přednastavené a uživatelem definované scénáře. Můžete také použít akce odezvy z aplikací třetích stran a scénáře reakce, které zahrnují více aplikací.

Endpoint Detection and Response (KATA)

Aplikace Kaspersky Endpoint Security pro systém Windows podporuje fungování se součásti Kaspersky Endpoint Detection and Response jako součásti řešení Kaspersky Anti Targeted Attack Platform (EDR (KATA)). Platforma Kaspersky Anti Targeted Attack Platform je řešení navržené pro včasnou detekci sofistikovaných hrozeb, jako jsou cílené útoky, pokročilé perzistentní hrozby (APT), útoky nultého dne a další. Kaspersky Anti Targeted Attack Platform obsahuje tři funkční jednotky:

Kaspersky Anti Targeted Attack Platform (KATA)
Kaspersky Endpoint Detection and Response (EDR (KATA))
Network Detection and Response (NDR (KATA))

Všechny funkční jednotky nebo jednotlivé funkční jednotky můžete zakoupit samostatně. Podrobnosti o tomto řešení najdete v nápovědě k platformě Kaspersky Anti Targeted Attack Platform.

Aplikace Kaspersky Endpoint Security se instaluje na jednotlivé počítače v podnikové IT infrastruktuře a nepřetržitě sleduje procesy, otevřená síťová připojení a upravované soubory. Informace o událostech v počítači (telemetrická data) jsou odesílány na server Kaspersky Anti Targeted Attack Platform. V tomto případě aplikace Kaspersky Endpoint Security také odešle na server Kaspersky Anti Targeted Attack Platform informace o hrozbách objevených aplikací a také informace o výsledcích zpracování těchto hrozeb.

Integrace EDR (KATA) a NDR (KATA) se konfiguruje v konzole aplikace Kaspersky Security Center. Integrovaný agent je pak spravován pomocí konzoly Kaspersky Anti Targeted Attack Platform, včetně spouštění úloh, správy objektů v karanténě, prohlížení zpráv a dalších akcí.

Nastavení řešení Endpoint Detection and Response Expert (on-premise)

Parametr	Popis
Connection to telemetry collection servers	Server pro shromažďování telemetrie je server, který je součástí řešení SIEM, které shromažďuje, normalizuje, uvádí do vzájemného vztahu, analyzuje a ukládá informace o událostech, k nimž dochází v počítači. Chcete-li se připojit k serverům pro sběr telemetrie (KUMA), nakonfigurujte následující položky: Timeout (sec). Maximální časový limit odpovědi serveru. Když časový limit vyprší, Kaspersky Endpoint Security se pokusí připojit k jinému serveru. Server certificate. Certifikát TLS pro navázání důvěryhodného spojení se serverem. Certifikát TLS můžete získat na otevřené platformě OSMP (Open Single Management Platform) (viz pokyny v nápovědě k řešení Kaspersky Endpoint Detection and Response Expert (on-premise)). Use two-way authentication. Ověření na obou stranách při navazování zabezpečeného připojení mezi aplikací Kaspersky Endpoint Security a serverem. Chcete-li používat ověřování na obou stranách, musíte je povolit v nastavení serveru, poté si pořídit kryptokontejner a nastavit heslo pro jeho ochranu. Kryptokontejner je PFX archiv s certifikátem a soukromým klíčem. Kryptokontejner můžete získat na otevřené platformě OSMP (Open Single Management Platform) (viz pokyny v nápovědě k řešení Kaspersky Endpoint Detection and Response Expert (on-premise)). Po konfiguraci nastavení serveru musíte také povolit obousměrné ověřování v nastavení aplikace Kaspersky Endpoint Security a načíst šifrovací kontejner chráněný heslem. Kryptokontejner musí být chráněn heslem. Není možné přidat kryptokontejner s prázdným heslem.
Address a Port (servery pro sběr telemetrie)	Nastavení pro připojování k serverům pro shromažďování telemetrie. Můžete zadat IP adresu (IPv4 nebo IPv6). Můžete přidat více adres serveru pro shromažďování telemetrie. Kaspersky Endpoint Security se pokusí o připojení k serveru na první IP adrese. Pokud připojení nelze navázat, aplikace Kaspersky Endpoint Security se pokusí připojit k druhé IP adrese v seznamu a tak dále.
Send telemetry to telemetry collection servers	Tato funkce umožňuje zcela vypnout odesílání telemetrických údajů na server KATA. Pokud například používáte Kaspersky Anti Targeted Attack Platform spolu s jiným řešením, které také využívá telemetrii, můžete odesílání telemetrie pro KATA (EDR) vypnout. To vám umožní optimalizovat zatížení serveru pro tato řešení. Pokud máte nasazené řešení Managed Detection and Response a součást KATA (EDR), můžete použít telemetrii MDR a vytvářet úlohy Reakce na hrozby v KATA (EDR). Send telemetry with IOA only. To umožňuje optimalizaci telemetrie a odesílání telemetrie pouze pomocí IOA. Indikátor útoku (IOA) je pravidlo, které obsahuje popis podezřelého chování v systému, které může naznačovat cílený útok. Aplikace porovnává průběžné chování v systému s těmito pravidly a zaprotokoluje události, které ukazují na cílený útok. Aplikace používá technologii kontrola streamování, která umožňuje sledování těchto událostí v reálném čase. Maximum event transmission delay (sec). Aplikace se synchronizuje se serverem a odesílá události po uplynutí intervalu synchronizace. Výchozí hodnota je 30 sekund. Limit the number of event packets per transmission. Aplikace se synchronizuje se serverem, když se vyrovnávací paměť zaplní událostmi. Výchozí hodnota je 1024 událostí. Tato funkce umožňuje zakázat ukládání událostí do vyrovnávací paměti před synchronizací se serverem.
Enable request throttling	Tato funkce pomáhá optimalizovat zátěž serveru. Pokud je políčko zaškrtnuto, aplikace omezí přenášené události. Pokud počet událostí překročí nakonfigurované limity, aplikace Kaspersky Endpoint Security přestane odesílat události. Konfigurace nastavení telemetrie: Maximum number of events per hour. Aplikace analyzuje tok telemetrických dat a omezí odesílání událostí, pokud tok událostí překročí nakonfigurovaný limit událostí za hodinu. Kaspersky Endpoint Security obnoví odesílání událostí po hodině. Výchozí nastavení je 3000 událostí za hodinu. Pokud je aplikace nainstalována na serveru, je datový tok telemetrie vyšší. U serverů se doporučuje zvýšit hodnotu na 60 000 událostí za hodinu. Percentage of event limit excess. Aplikace třídí události podle typu (například události „změny registru“) a omezuje přenos událostí, pokud poměr událostí stejného typu k celkovému počtu událostí překročí nakonfigurovaný limit v procentech. Kaspersky Endpoint Security obnoví odesílání událostí, když poměr ostatních událostí k celkovému počtu událostí bude opět dostatečně velký. Výchozí nastavení je 15 %.
Send sync request to server every (min)	Frekvence požadavků na synchronizaci odesílaných na server. Během synchronizace Kaspersky Endpoint Security odesílá informace o změněných nastaveních aplikací a úlohách.
Connection to response servers	Odpovědní server je server pro příjem a kontrolu dat, studium chování objektů a publikování výsledků těchto studií. Nakonfigurujte následující připojení k odpovědním serverům: Timeout (sec). Maximální časový limit odpovědi serveru. Když časový limit vyprší, Kaspersky Endpoint Security se pokusí připojit k jinému serveru. Server certificate. Certifikát TLS pro navázání důvěryhodného spojení se serverem. Certifikát TLS můžete získat na otevřené platformě OSMP (Open Single Management Platform) (viz pokyny v nápovědě k řešení Kaspersky Endpoint Detection and Response Expert (on-premise)). Use two-way authentication. Ověření na obou stranách při navazování zabezpečeného připojení mezi aplikací Kaspersky Endpoint Security a serverem. Chcete-li používat ověřování na obou stranách, musíte je povolit v nastavení serveru, poté si pořídit kryptokontejner a nastavit heslo pro jeho ochranu. Kryptokontejner je PFX archiv s certifikátem a soukromým klíčem. Kryptokontejner můžete získat na otevřené platformě OSMP (Open Single Management Platform) (viz pokyny v nápovědě k řešení Kaspersky Endpoint Detection and Response Expert (on-premise)). Po konfiguraci nastavení serveru musíte také povolit obousměrné ověřování v nastavení aplikace Kaspersky Endpoint Security a načíst šifrovací kontejner chráněný heslem.
Address a Port (odpovědní servery)	Nastavení pro připojování k odpovědním serverům. Můžete zadat IP adresu (IPv4 nebo IPv6). Můžete přidat více adres serveru pro shromažďování telemetrie. Kaspersky Endpoint Security se pokusí o připojení k serveru na první IP adrese. Pokud připojení nelze navázat, aplikace Kaspersky Endpoint Security se pokusí připojit k druhé IP adrese v seznamu a tak dále.

Nastavení součásti Endpoint Detection and Response (KATA)

Parametr	Popis
Send sync request to server every (min)	Frekvence požadavků na synchronizaci odesílaných na server. Během synchronizace Kaspersky Endpoint Security odesílá informace o změněných nastaveních aplikací a úlohách.
Connection to KATA servers	Nakonfigurujte následující připojení k serveru Central Node: Timeout (sec). Maximální časový limit odpovědi serveru Central Node. Když časový limit vyprší, Kaspersky Endpoint Security se pokusí připojit k jinému serveru Central Node. Server certificate. Certifikát TLS pro navázání důvěryhodného spojení se serverem Central Node. Certifikát TLS můžete získat v konzole součásti Kaspersky Anti Targeted Attack Platform (viz pokyny v nápovědě k součásti Kaspersky Anti Targeted Attack Platform). Use two-way authentication. Ověření na obou stranách při navazování zabezpečeného připojení mezi aplikací Kaspersky Endpoint Security a serverem Central Node. Chcete-li používat ověřování na obou stranách, musíte je povolit v nastavení serveru Central Node, poté si pořídit kryptokontejner a nastavit heslo pro jeho ochranu. Kryptokontejner je PFX archiv s certifikátem a soukromým klíčem. Kryptokontejner můžete získat v konzole součásti Kaspersky Anti Targeted Attack Platform (viz pokyny v nápovědě k součásti Kaspersky Anti Targeted Attack Platform). Po konfiguraci nastavení součásti Central Node musíte také povolit obousměrné ověřování v nastavení aplikace Kaspersky Endpoint Security a načíst šifrovací kontejner chráněný heslem. Kryptokontejner musí být chráněn heslem. Není možné přidat kryptokontejner s prázdným heslem.
Address a Port (servery KATA)	Nastavení připojení k serverům platformy Kaspersky Anti Targeted Attack Platform. Zadejte IP adresu serveru Central Node (IPv4, IPv6) a port pro připojení k serveru. Můžete přidat více adres serveru centrálního uzlu. Kaspersky Endpoint Security se pokusí o připojení k serveru na první IP adrese. Pokud připojení nelze navázat, aplikace Kaspersky Endpoint Security se pokusí připojit k druhé IP adrese v seznamu a tak dále.
Send telemetry to KATA	Tato funkce umožňuje zcela vypnout odesílání telemetrických údajů na server KATA. Pokud například používáte Kaspersky Anti Targeted Attack Platform spolu s jiným řešením, které také využívá telemetrii, můžete odesílání telemetrie pro KATA (EDR) vypnout. To vám umožní optimalizovat zatížení serveru pro tato řešení. Pokud máte nasazené řešení Managed Detection and Response a součást KATA (EDR), můžete použít telemetrii MDR a vytvářet úlohy Reakce na hrozby v KATA (EDR). Konfigurace nastavení telemetrie: Maximum event transmission delay (sec). Aplikace se synchronizuje se serverem a odesílá události po uplynutí intervalu synchronizace. Výchozí hodnota je 30 sekund. Maximum number of event packages. Aplikace se synchronizuje se serverem, když se vyrovnávací paměť zaplní událostmi. Výchozí hodnota je 1024 událostí.
Enable request throttling	Tato funkce pomáhá optimalizovat zátěž serveru. Pokud je políčko zaškrtnuto, aplikace omezí přenášené události. Pokud počet událostí překročí nakonfigurované limity, aplikace Kaspersky Endpoint Security přestane odesílat události. Konfigurace nastavení telemetrie: Maximum number of events per hour. Aplikace analyzuje tok telemetrických dat a omezí odesílání událostí, pokud tok událostí překročí nakonfigurovaný limit událostí za hodinu. Kaspersky Endpoint Security obnoví odesílání událostí po hodině. Výchozí nastavení je 3000 událostí za hodinu. Pokud je aplikace nainstalována na serveru, je datový tok telemetrie vyšší. U serverů se doporučuje zvýšit hodnotu na 60 000 událostí za hodinu. Percentage of event limit excess. Aplikace třídí události podle typu (například události „změny registru“) a omezuje přenos událostí, pokud poměr událostí stejného typu k celkovému počtu událostí překročí nakonfigurovaný limit v procentech. Kaspersky Endpoint Security obnoví odesílání událostí, když poměr ostatních událostí k celkovému počtu událostí bude opět dostatečně velký. Výchozí nastavení je 15 %.

Viz také:

Integrace integrovaného agenta s EDR/NDR (KATA)

Konfigurace telemetrie EDR (KATA)

Začátek stránky