Kaspersky Endpoint Security voor Windows ondersteund het werken met de Kaspersky Endpoint Detection and Response als onderdeel van de Kaspersky Anti Targeted Attack Platform (EDR (KATA))-oplossing. Kaspersky Anti Targeted Attack Platform is een oplossing voor de tijdige detectie van geavanceerde dreigingen, zoals doelgerichte aanvallen, geavanceerde aanhoudende dreigingen (Advanced Persistent Threats, APT), en zero-day-aanvallen en anderen. Kaspersky Anti Targeted Attack Platform omvat drie functionele eenheden:
U kunt alle functionele eenheden of afzonderlijke functionele eenheden afzonderlijk kopen. Voor informatie over de oplossing raadpleegt u de Help van Kaspersky Anti Targeted Attack Platform.
Het programma Kaspersky Endpoint Security wordt op individuele computers op de IT-infrastructuur van het bedrijf geïnstalleerd en bewaakt continu processen, open netwerkverbindingen en bestanden die worden gewijzigd. Informatie over gebeurtenissen op de computer (telemetriegegevens) wordt verzonden naar de Kaspersky Anti Targeted Attack Platform-server. In dit geval verzendt Kaspersky Endpoint Security ook informatie naar de Kaspersky Anti Targeted Attack Platform-server over dreigingen gevonden door het programma, evenals informatie over verwerkingsresultaten voor deze dreigingen.
De EDR (KATA) en NDR (KATA)-integratie wordt geconfigureerd op de Kaspersky Security Center-console. De ingebouwde agent wordt vervolgens beheerd met behulp van de Kaspersky Anti Targeted Attack Platform-console, inclusief het uitvoeren van taken, het beheren van in quarantaine geplaatste objecten, het bekijken van rapporten en andere acties.
Network Detection and Response (KATA) parameters
Parameter |
Beschrijving |
|---|---|
Serververbinding instellingen |
Time-out (sec.). Maximale time-out voor de serverrespons van Central Node. Wanneer de time-out is verstreken, probeert Kaspersky Endpoint Security verbinding te maken met een andere Central Node-server. Server TLS certificaat. TLS-certificaat voor het tot stand brengen van een vertrouwde verbinding met de Central Node-server. U kunt een TLS-certificaat verkrijgen in de Kaspersky Anti Targeted Attack Platform-console (zie de instructies in de Help van Kaspersky Anti Targeted Attack Platform). Gebruik twee-weg verificatie. Tweerichtingsverificatie bij het tot stand brengen van een beveiligde verbinding tussen Kaspersky Endpoint Security en Central Node. Om tweerichtingsverificatie te gebruiken, moet u tweerichtingsverificatie inschakelen in de Central Node-instellingen, vervolgens een crypto-container ophalen en een wachtwoord instellen om de crypto-container te beschermen. Een crypto-container is een PFX-archief met een certificaat en een privésleutel. U kunt een crypto-container verkrijgen in de Kaspersky Anti Targeted Attack Platform-console (zie de instructies in de Help van Kaspersky Anti Targeted Attack Platform). Na het configureren van de Central Node-instellingen, moet u ook tweerichtingsverificatie inschakelen in de instellingen van Kaspersky Endpoint Security en een met een wachtwoord beveiligde crypto-container laden. De crypto-container moet met een wachtwoord worden beveiligd. Het is niet mogelijk om een crypto-container toe te voegen met een leeg wachtwoord. |
Adres en Poort |
Verbindingsinstellingen voor Kaspersky Anti Targeted Attack Platform-servers. U kunt een IP-adres (IPv4 of IPv6) invoeren. U kunt meerdere Central Node-serveradressen toevoegen. Kaspersky Endpoint Security probeert verbinding te maken met de server op het eerste IP-adres. Als er geen verbinding tot stand kan worden gebracht, probeert Kaspersky Endpoint Security verbinding te maken via het tweede IP-adres in de lijst, enzovoort. |
Stuur sync-verzoek naar NDR-server elke (min) |
Frequentie van synchronisatieverzoeken die naar de server worden verzonden. Tijdens de synchronisatie verzendt Kaspersky Endpoint Security informatie over gewijzigde programma-instellingen en -taken. |
Maximale gebeurtenisoverdracht vertraging (sec) |
Het programma synchroniseert met de server om gebeurtenissen te verzenden nadat het synchronisatie-interval is verlopen. De standaardinstelling is 30 seconden. |
Inschakelen verzoek afremmen |
Dit helpt de belasting op de server te optimaliseren. Als het selectievakje is ingeschakeld, beperkt het programma de verzonden gebeurtenissen. Als het aantal gebeurtenissen de ingestelde limieten overschrijdt, stopt Kaspersky Endpoint Security met het verzenden van gebeurtenissen. |
Maximum aantal gebeurtenissen per uur |
Het programma analyseert de telemetriegegevensstroom en beperkt het verzenden van gebeurtenissen als de gebeurtenisstroom de geconfigureerde limiet voor gebeurtenissen per uur overschrijdt. Kaspersky Endpoint Security hervat het verzenden van gebeurtenissen na een uur. De standaardinstelling is 3000 gebeurtenissen per uur. Als het programma op een server is geïnstalleerd, is de telemetrie gegevensstroom hoger. Voor servers wordt aanbevolen om de waarde te verhogen tot 60 000 gebeurtenissen per uur. |
Percentage van de limietoverschrijding |
Het programma sorteert gebeurtenissen op type (bijvoorbeeld 'wijzigingen in het register'-gebeurtenissen) en beperkt de overdracht van gebeurtenissen als de verhouding tussen gebeurtenissen van hetzelfde type en het totale aantal gebeurtenissen de geconfigureerde limiet overschrijdt. Kaspersky Endpoint Security hervat het verzenden van gebeurtenissen wanneer de verhouding tussen andere gebeurtenissen en het totale aantal gebeurtenissen opnieuw groot genoeg is. De standaardinstelling is 15 %. |