Endpoint Detection and Response Expert (on-premise)

Endpoint Detection and Response Expert (on-premise)

Kaspersky Endpoint Security voor Windows ondersteunt integratie met de Kaspersky Endpoint Detection and Response Expert (on-premise)-oplossingen. Kaspersky Endpoint Detection and Response Expert (on premise) is een enterprise-cyberbeveiligingsoplossing die Kaspersky-programma's bevat waarmee een organisatie zich kan verdedigen tegen de meeste soorten cyberrisico's en die de belangrijkste scenario's voor de verspreiding van dreigingen dekt. Onderdelen van EDR Expert (on-premise) worden geïmplementeerd op het Open Single Management Platform (OSMP). Dit platform voert cross-platformscenario's uit in één enkele interface en maakt het mogelijk om Kaspersky-programma’s te integreren met programma’s van derden in een uitgebreid beveiligingssysteem.

Een van de centrale elementen van de oplossing is: SIEM. SIEM houdt gebeurtenissen bij die afkomstig zijn van alle onderdelen en correleert deze gebeurtenissen met elkaar met behulp van door de leverancier en door de gebruiker gedefinieerde regels. EDR Expert (on-premise) bekijkt logboeken en telemetriegegevens die worden ontvangen van de bedrijfsinfrastructuur om aanvallen automatisch te detecteren en maakt het onderzoek van incidenten mogelijk met behulp van een uniforme onderzoeksgrafiek die alle gebeurtenissen combineert die in EDR Expert (on-premises) zijn verzameld, inclusief gebeurtenissen van Kaspersky-programma's en informatiebeveiligingsproducten van derden.

Voor de reactie op geavanceerde incidenten gebruikt EDR Expert (on-premise) vooraf ingestelde en door de gebruiker gedefinieerde scenario's. U kunt ook responsacties van programma's van derden en responsscenario's waarbij meerdere programma's zijn betrokken, gebruiken.

Endpoint Detection and Response (KATA)

Kaspersky Endpoint Security voor Windows ondersteund het werken met de Kaspersky Endpoint Detection and Response als onderdeel van de Kaspersky Anti Targeted Attack Platform (EDR (KATA))-oplossing. Kaspersky Anti Targeted Attack Platform is een oplossing voor de tijdige detectie van geavanceerde dreigingen, zoals doelgerichte aanvallen, geavanceerde aanhoudende dreigingen (Advanced Persistent Threats, APT), en zero-day-aanvallen en anderen. Kaspersky Anti Targeted Attack Platform omvat drie functionele eenheden:

U kunt alle functionele eenheden of afzonderlijke functionele eenheden afzonderlijk kopen. Voor informatie over de oplossing raadpleegt u de Help van Kaspersky Anti Targeted Attack Platform.

Het programma Kaspersky Endpoint Security wordt op individuele computers op de IT-infrastructuur van het bedrijf geïnstalleerd en bewaakt continu processen, open netwerkverbindingen en bestanden die worden gewijzigd. Informatie over gebeurtenissen op de computer (telemetriegegevens) wordt verzonden naar de Kaspersky Anti Targeted Attack Platform-server. In dit geval verzendt Kaspersky Endpoint Security ook informatie naar de Kaspersky Anti Targeted Attack Platform-server over dreigingen gevonden door het programma, evenals informatie over verwerkingsresultaten voor deze dreigingen.

De EDR (KATA) en NDR (KATA)-integratie wordt geconfigureerd op de Kaspersky Security Center-console. De ingebouwde agent wordt vervolgens beheerd met behulp van de Kaspersky Anti Targeted Attack Platform-console, inclusief het uitvoeren van taken, het beheren van in quarantaine geplaatste objecten, het bekijken van rapporten en andere acties.

Instellingen Endpoint Detection and Response Expert (on-premise)

Parameter

Beschrijving

Connection to telemetry collection servers

Een telemetrieverzamelingsserver is een server die deel uitmaakt van een SIEM oplossing die informatie over gebeurtenissen op de computer verzamelt, normaliseert, correleert, analyseert en opslaat.

Configureer het volgende om verbinding te maken met de servers voor het verzamelen van telemetriegegevens (KUMA):

  • Timeout (sec). Maximale time-out voor de serverrespons. Wanneer de time-out is verstreken, probeert Kaspersky Endpoint Security verbinding te maken met een andere server.
  • Server certificate. TLS-certificaat voor het tot stand brengen van een vertrouwde verbinding met de server. U kunt een TLS-certificaat verkrijgen via het Open Single Management Platform (zie de instructies in de Help van Kaspersky Endpoint Detection and Response Expert (on-premise)).
  • Use two-way authentication. Tweerichtingsverificatie bij het tot stand brengen van een beveiligde verbinding tussen Kaspersky Endpoint Security en de server. Om tweerichtingsverificatie te gebruiken, moet u tweerichtingsverificatie inschakelen in de server instellingen, vervolgens een crypto-container ophalen en een wachtwoord instellen om de crypto-container te beschermen. Een crypto-container is een PFX-archief met een certificaat en een privésleutel. U kunt een cryptocontainer verkrijgen op het Open Single Management Platform (zie de instructies in de Help van Kaspersky Endpoint Detection and Response Expert (on-premises)). Na het configureren van de server instellingen, moet u ook tweerichtingsverificatie inschakelen in de instellingen van Kaspersky Endpoint Security en een met een wachtwoord beveiligde crypto-container laden.

De crypto-container moet met een wachtwoord worden beveiligd. Het is niet mogelijk om een crypto-container toe te voegen met een leeg wachtwoord.

Address en Port (servers voor het verzamelen van telemetriegegevens)

Instellingen voor verbinding met telemetrieverzamelingsservers. U kunt een IP-adres (IPv4 of IPv6) invoeren.

U kunt meerdere adressen van telemetrie-verzamelingsservers toevoegen. Kaspersky Endpoint Security probeert verbinding te maken met de server op het eerste IP-adres. Als er geen verbinding tot stand kan worden gebracht, probeert Kaspersky Endpoint Security verbinding te maken via het tweede IP-adres in de lijst, enzovoort.

Send telemetry to telemetry collection servers

Met deze functionaliteit kunt u het verzenden van telemetrie naar de KATA-server volledig uitschakelen. Als u bijvoorbeeld Kaspersky Anti Targeted Attack Platform gebruikt in combinatie met een andere oplossing die ook telemetrie gebruikt, kunt u het versturen van telemetrie voor KATA (EDR) uitschakelen. Hiermee kunt u de serverbelasting voor deze oplossingen optimaliseren. Als u de Managed Detection and Response-oplossing en KATA (EDR) hebt geïmplementeerd, kunt u MDR-telemetrie gebruiken en Threat Response-taken maken in KATA (EDR).

  • Send telemetry with IOA only. Dit maakt het mogelijk om telemetrie te optimaliseren en alleen telemetrie verzenden met IOA. Indicator van aanval (IOA) is een regel die een beschrijving bevat van verdacht gedrag in het systeem dat kan wijzen op een gerichte aanval. Het programma vergelijkt het gedrag in het systeem met deze regels en registreert gebeurtenissen die wijzen op een gerichte aanval. Het programma gebruikt de streaming scantechnologie die het mogelijk maakt om dergelijke gebeurtenissen in realtime bij te houden.
  • Maximum event transmission delay (sec). Het programma synchroniseert met de server om gebeurtenissen te verzenden nadat het synchronisatie-interval is verlopen. De standaardinstelling is 30 seconden.
  • Limit the number of event packets per transmission. Het programma synchroniseert met de server wanneer de buffer gevuld is met gebeurtenissen. De standaardinstelling is 1024 gebeurtenissen. Met deze functie kunt u het bufferen van gebeurtenissen vóór synchronisatie met de server uitschakelen.

Enable request throttling

Dit helpt de belasting op de server te optimaliseren. Als het selectievakje is ingeschakeld, beperkt het programma de verzonden gebeurtenissen. Als het aantal gebeurtenissen de ingestelde limieten overschrijdt, stopt Kaspersky Endpoint Security met het verzenden van gebeurtenissen.

Telemetrie-instellingen configureren:

  • Maximum number of events per hour. Het programma analyseert de telemetriegegevensstroom en beperkt het verzenden van gebeurtenissen als de gebeurtenisstroom de geconfigureerde limiet voor gebeurtenissen per uur overschrijdt. Kaspersky Endpoint Security hervat het verzenden van gebeurtenissen na een uur. De standaardinstelling is 3000 gebeurtenissen per uur. Als het programma op een server is geïnstalleerd, is de telemetrie gegevensstroom hoger. Voor servers wordt aanbevolen om de waarde te verhogen tot 60 000 gebeurtenissen per uur.
  • Percentage of event limit excess. Het programma sorteert gebeurtenissen op type (bijvoorbeeld 'wijzigingen in het register'-gebeurtenissen) en beperkt de overdracht van gebeurtenissen als de verhouding tussen gebeurtenissen van hetzelfde type en het totale aantal gebeurtenissen de geconfigureerde limiet overschrijdt. Kaspersky Endpoint Security hervat het verzenden van gebeurtenissen wanneer de verhouding tussen andere gebeurtenissen en het totale aantal gebeurtenissen opnieuw groot genoeg is. De standaardinstelling is 15 %.

Send sync request to server every (min)

Frequentie van synchronisatieverzoeken die naar de server worden verzonden. Tijdens de synchronisatie verzendt Kaspersky Endpoint Security informatie over gewijzigde programma-instellingen en -taken.

Connection to response servers

Een responsservers is een server voor het ontvangen en scannen van gegevens, het bestuderen van het gedrag van objecten en het publiceren van de resultaten van dergelijke onderzoeken.

Configureer de volgende instellingen voor de verbinding met de responsservers:

  • Timeout (sec). Maximale time-out voor de serverrespons. Wanneer de time-out is verstreken, probeert Kaspersky Endpoint Security verbinding te maken met een andere server.
  • Server certificate. TLS-certificaat voor het tot stand brengen van een vertrouwde verbinding met de server. U kunt een TLS-certificaat verkrijgen via het Open Single Management Platform (zie de instructies in de Help van Kaspersky Endpoint Detection and Response Expert (on-premise)).
  • Use two-way authentication. Tweerichtingsverificatie bij het tot stand brengen van een beveiligde verbinding tussen Kaspersky Endpoint Security en de server. Om tweerichtingsverificatie te gebruiken, moet u tweerichtingsverificatie inschakelen in de server instellingen, vervolgens een crypto-container ophalen en een wachtwoord instellen om de crypto-container te beschermen. Een crypto-container is een PFX-archief met een certificaat en een privésleutel. U kunt een cryptocontainer verkrijgen op het Open Single Management Platform (zie de instructies in de Help van Kaspersky Endpoint Detection and Response Expert (on-premises)). Na het configureren van de server instellingen, moet u ook tweerichtingsverificatie inschakelen in de instellingen van Kaspersky Endpoint Security en een met een wachtwoord beveiligde crypto-container laden.

Address en Port (responsservers)

Instellingen voor verbinding met responsservers. U kunt een IP-adres (IPv4 of IPv6) invoeren.

U kunt meerdere adressen van telemetrie-verzamelingsservers toevoegen. Kaspersky Endpoint Security probeert verbinding te maken met de server op het eerste IP-adres. Als er geen verbinding tot stand kan worden gebracht, probeert Kaspersky Endpoint Security verbinding te maken via het tweede IP-adres in de lijst, enzovoort.

Instellingen Endpoint Detection and Response (KATA)

Parameter

Beschrijving

Send sync request to server every (min)

Frequentie van synchronisatieverzoeken die naar de server worden verzonden. Tijdens de synchronisatie verzendt Kaspersky Endpoint Security informatie over gewijzigde programma-instellingen en -taken.

Connection to KATA servers

Configureer het volgende voor de verbinding met de Central Node-server:

  • Timeout (sec). Maximale time-out voor de serverrespons van Central Node. Wanneer de time-out is verstreken, probeert Kaspersky Endpoint Security verbinding te maken met een andere Central Node-server.
  • Server certificate. TLS-certificaat voor het tot stand brengen van een vertrouwde verbinding met de Central Node-server. U kunt een TLS-certificaat verkrijgen in de Kaspersky Anti Targeted Attack Platform-console (zie de instructies in de Help van Kaspersky Anti Targeted Attack Platform).
  • Use two-way authentication. Tweerichtingsverificatie bij het tot stand brengen van een beveiligde verbinding tussen Kaspersky Endpoint Security en de Central Node-server. Om tweerichtingsverificatie te gebruiken, moet u tweerichtingsverificatie inschakelen in de Central Node-server instellingen, vervolgens een crypto-container ophalen en een wachtwoord instellen om de crypto-container te beschermen. Een crypto-container is een PFX-archief met een certificaat en een privésleutel. U kunt een crypto-container verkrijgen in de Kaspersky Anti Targeted Attack Platform-console (zie de instructies in de Help van Kaspersky Anti Targeted Attack Platform). Na het configureren van de Central Node-instellingen, moet u ook tweerichtingsverificatie inschakelen in de instellingen van Kaspersky Endpoint Security en een met een wachtwoord beveiligde crypto-container laden.

De crypto-container moet met een wachtwoord worden beveiligd. Het is niet mogelijk om een crypto-container toe te voegen met een leeg wachtwoord.

Address en Port (KATA-servers)

Instellingen voor verbinding met Kaspersky Anti Targeted Attack Platform-servers. Voer het Ip-adres van de Central Node server (IPv4, IPv6) en de poort in om verbinding te maken met de server.

U kunt meerdere Central Node-serveradressen toevoegen. Kaspersky Endpoint Security probeert verbinding te maken met de server op het eerste IP-adres. Als er geen verbinding tot stand kan worden gebracht, probeert Kaspersky Endpoint Security verbinding te maken via het tweede IP-adres in de lijst, enzovoort.

Send telemetry to KATA

Met deze functionaliteit kunt u het verzenden van telemetrie naar de KATA-server volledig uitschakelen. Als u bijvoorbeeld Kaspersky Anti Targeted Attack Platform gebruikt in combinatie met een andere oplossing die ook telemetrie gebruikt, kunt u het versturen van telemetrie voor KATA (EDR) uitschakelen. Hiermee kunt u de serverbelasting voor deze oplossingen optimaliseren. Als u de Managed Detection and Response-oplossing en KATA (EDR) hebt geïmplementeerd, kunt u MDR-telemetrie gebruiken en Threat Response-taken maken in KATA (EDR).

Telemetrie-instellingen configureren:

  • Maximum event transmission delay (sec). Het programma synchroniseert met de server om gebeurtenissen te verzenden nadat het synchronisatie-interval is verlopen. De standaardinstelling is 30 seconden.
  • Maximum number of event packages. Het programma synchroniseert met de server wanneer de buffer gevuld is met gebeurtenissen. De standaardinstelling is 1024 gebeurtenissen.

Enable request throttling

Dit helpt de belasting op de server te optimaliseren. Als het selectievakje is ingeschakeld, beperkt het programma de verzonden gebeurtenissen. Als het aantal gebeurtenissen de ingestelde limieten overschrijdt, stopt Kaspersky Endpoint Security met het verzenden van gebeurtenissen.

Telemetrie-instellingen configureren:

  • Maximum number of events per hour. Het programma analyseert de telemetriegegevensstroom en beperkt het verzenden van gebeurtenissen als de gebeurtenisstroom de geconfigureerde limiet voor gebeurtenissen per uur overschrijdt. Kaspersky Endpoint Security hervat het verzenden van gebeurtenissen na een uur. De standaardinstelling is 3000 gebeurtenissen per uur. Als het programma op een server is geïnstalleerd, is de telemetrie gegevensstroom hoger. Voor servers wordt aanbevolen om de waarde te verhogen tot 60 000 gebeurtenissen per uur.
  • Percentage of event limit excess. Het programma sorteert gebeurtenissen op type (bijvoorbeeld 'wijzigingen in het register'-gebeurtenissen) en beperkt de overdracht van gebeurtenissen als de verhouding tussen gebeurtenissen van hetzelfde type en het totale aantal gebeurtenissen de geconfigureerde limiet overschrijdt. Kaspersky Endpoint Security hervat het verzenden van gebeurtenissen wanneer de verhouding tussen andere gebeurtenissen en het totale aantal gebeurtenissen opnieuw groot genoeg is. De standaardinstelling is 15 %.

Raadpleeg ook

Integratie van de ingebouwde agent met EDR / NDR (KATA)

EDR (KATA)-telemetrie configureren
Naar boven