Endpoint Detection and Response(KATA)
Kaspersky Endpoint Security for Windows에는 Kaspersky Anti Targeted Attack Platform(EDR (KATA)) 솔루션의 일부인 Kaspersky Endpoint Detection and Response 구성 요소를 지원합니다. Kaspersky Anti Targeted Attack Platform은 표적형 공격, APT(지능형 지속 위협), 제로 데이 공격 등 지능형 위협을 적시에 탐지하도록 설계된 솔루션입니다. Kaspersky Anti Targeted Attack Platform은 다음 두가지 기능 블록을 포함합니다. Kaspersky Anti Targeted Attack(이하 "KATA") 및 Kaspersky Endpoint Detection and Response(이하 "EDR(KATA)"). EDR(KATA)은 별도로 구매할 수 있습니다. 이 솔루션에 대한 자세한 내용은 Kaspersky Anti Targeted Attack Platform 도움말을 참조하십시오.
Kaspersky Endpoint Security는 기업 IT 인프라의 개별 컴퓨터에 설치되며 프로세스, 개방형 네트워크 연결 및 수정되는 파일을 계속해서 모니터링합니다. 컴퓨터의 이벤트에 대한 정보(원격 측정 데이터)는 Kaspersky Anti Targeted Attack Platform 서버로 전송됩니다. 이때, Kaspersky Endpoint Security는 애플리케이션에서 발견한 보안 위협에 대한 정보와 이를 처리한 결과에 대한 정보도 Kaspersky Anti Targeted Attack Platform 서버로 보냅니다.
EDR(KATA)과의 통합은 Kaspersky Security Center 콘솔에서 구성됩니다. 그러면 이 내장 에이전트가 Kaspersky Anti Targeted Attack Platform 콘솔을 사용하여 관리됩니다(작업 실행, 격리된 개체 관리, 리포트 보기 및 기타 작업 등).
Endpoint Detection and Response(KATA) 설정
파라미터 | 설명 |
|---|---|
KATA 서버 연결 설정 | 시간 초과. 최대 Central Node 서버 응답 시간 초과. 제한 시간이 초과되면 Kaspersky Endpoint Security는 다른 Central Node 서버에 연결을 시도합니다. 서버 TLS 인증서. Central Node 서버와의 신뢰할 수 있는 연결을 설정하기 위한 TLS 인증서입니다. Kaspersky Anti Targeted Attack Platform 콘솔에서 TLS 인증서를 얻을 수 있습니다(Kaspersky Anti Targeted Attack Platform 도움말의 지침 참조). 양방향 인증 사용. Kaspersky Endpoint Security와 중앙 노드 간에 보안 연결을 설정할 때 양방향 인증. 양방향 인증을 사용하려면 중앙 노드 설정에서 양방향 인증을 활성화한 다음 암호화 컨테이너를 가져오고 암호를 설정하여 암호화 컨테이너를 보호해야 합니다. 암호화 컨테이너는 인증서와 개인 키가 있는 PFX 압축 파일입니다. Kaspersky Anti Targeted Attack Platform 콘솔에서 암호화 컨테이너를 얻을 수 있습니다(Kaspersky Anti Targeted Attack Platform 도움말의 지침 참조). 중앙 노드 설정을 구성한 후 Kaspersky Endpoint Security 설정에서 양방향 인증도 활성화하고 암호가 걸려 있는 암호화 컨테이너도 로드해야 합니다. 암호화 컨테이너는 암호로 보호되어야 합니다. 빈 암호로 암호화 컨테이너를 추가할 수 없습니다. |
KATA 서버 | Central Node 서버 연결 설정. IP 주소(IPv4 또는 IPv6)를 입력할 수 있습니다. |
다음 시간마다 KATA 서버로 동기화 요청 보내기(분) | Central Node 서버로 전송되는 동기화 요청 빈도. 동기화하는 동안 Kaspersky Endpoint Security는 수정된 애플리케이션 설정 및 작업에 대한 정보를 보냅니다. |
KATA로 원격 측정 전송 | 이 기능을 사용하면 서버에 대한 원격 측정 전송을 완전히 끌 수 있습니다. Kaspersky Anti Targeted Attack Platform을 원격 측정을 사용하는 다른 솔루션과 함께 사용할 경우 KATA(EDR)의 원격 측정을 끌 수 있습니다. 이렇게 하면 솔루션의 서버 로드를 최적화할 수 있습니다. 예를 들어 Managed Detection and Response 솔루션과 KATA(EDR)가 배포되어 있다면 MDR 원격 측정을 사용해 KATA(EDR)에서 보안 위협 대응 작업을 만들 수 있습니다. |
최대 이벤트 전송 지연(초) | 애플리케이션이 서버와 동기화하여 동기화 주기가 만료된 후 이벤트를 보냅니다. 기본 설정은 30초입니다. |
요청 제한 활성화 | 이 기능은 서버의 부하를 최적화하는 데 도움이 됩니다. 이 확인란을 선택하면 애플리케이션이 전송되는 이벤트를 제한합니다. 이벤트 수가 구성된 제한을 초과하면 Kaspersky Endpoint Security가 이벤트 전송을 중지합니다. |
시간당 최대 이벤트 수 | 애플리케이션은 이벤트 스트림이 구성된 시간당 이벤트 제한을 초과할 경우 원격 측정 데이터 스트림을 분석하여 이벤트 전송을 제한합니다. Kaspersky Endpoint Security는 1시간 후에 이벤트 전송을 재개합니다. 기본 설정은 시간당 이벤트 3000개입니다. |
이벤트 제한 초과율 | 애플리케이션은 이벤트를 유형별로 정렬하고(예: "레지스트리 변경 사항" 이벤트) 총 이벤트 수에 대한 동일한 유형의 이벤트 비율이 설정된 제한(백분율)을 초과할 경우 이벤트 전송을 제한합니다. Kaspersky Endpoint Security는 총 이벤트 수에 대한 다른 이벤트의 비율이 다시 충분히 커지면 이벤트 전송을 재개합니다. 기본 설정은 15%입니다. |