Endpoint Detection and Response (KATA)
Kaspersky Endpoint Security para Windows admite trabajar con el componente Kaspersky Endpoint Detection and Response como parte de la solución Kaspersky Anti Targeted Attack Platform (EDR (KATA)). Kaspersky Anti Targeted Attack Platform es una solución que facilita la detección temprana de ataques dirigidos, amenazas persistentes avanzadas (APT), ataques de día cero y otras amenazas sofisticadas. Kaspersky Anti Targeted Attack Platform está compuesta por dos bloques funcionales: Kaspersky Anti Targeted Attack (en adelante también denominada "KATA") y Kaspersky Endpoint Detection and Response (en adelante también denominada "EDR (KATA)"). EDR (KATA) puede comprarse por separado. Para obtener más información sobre la solución, consulte la Ayuda de Kaspersky Anti Targeted Attack Platform.
La aplicación Kaspersky Endpoint Security se instala en equipos individuales en la infraestructura de TI corporativa y monitorea de forma continua los procesos, las conexiones de red abiertas y los archivos que se modifican. La información sobre los eventos del equipo (datos de telemetría) se envía al servidor de Kaspersky Anti Targeted Attack Platform. En este caso, Kaspersky Endpoint Security también envía información al servidor de Kaspersky Anti Targeted Attack Platform sobre las amenazas descubiertas por la aplicación, así como información sobre los resultados del procesamiento de estas amenazas.
La integración de EDR (KATA) se configura en la consola de Kaspersky Security Center. Luego, el agente incorporado se administra mediante la consola de Kaspersky Anti Targeted Attack Platform, incluidas las tareas en ejecución, la administración de objetos en cuarentena, la visualización de informes y otras acciones.
Configuración de Endpoint Detection and Response (KATA)
Parámetro | Descripción |
|---|---|
Configuración de conexión con el servidores KATA | Tiempo de espera. Tiempo de espera máximo de respuesta del servidor de Central Node. Cuando se agota el tiempo de espera, Kaspersky Endpoint Security intenta conectarse a un servidor de Central Node diferente. Certificado TLS del servidor. Certificado TLS para establecer una conexión de confianza con el servidor de Central Node. Puede obtener un certificado TLS en la consola de Kaspersky Anti Targeted Attack Platform (consulte las instrucciones en la Ayuda de Kaspersky Anti Targeted Attack Platform). Usar autenticación bidireccional. Autenticación bidireccional al establecer una conexión segura entre Kaspersky Endpoint Security y Central Node. Para usar la autenticación bidireccional, debe habilitarla en la configuración de Central Node y, a continuación, obtener un contenedor criptográfico y establecer una contraseña para proteger el contenedor criptográfico. Un contenedor criptográfico es un archivo de almacenamiento PFX con un certificado y una clave privada. Puede obtener un contenedor criptográfico en la consola de Kaspersky Anti Targeted Attack Platform (consulte las instrucciones en la Ayuda de Kaspersky Anti Targeted Attack Platform). Después de configurar los ajustes de Central Node, también debe habilitar la autenticación bidireccional en los ajustes de Kaspersky Endpoint Security y cargar un contenedor criptográfico protegido con contraseña. El contenedor criptográfico debe tener protección con contraseña. No es posible agregar un contenedor criptográfico con una contraseña en blanco. |
Servidores KATA | Configuración de la conexión del servidor de Central Node. Puede ingresar una dirección IP (IPv4 o IPv6). |
Enviar solicitud de sincronización al servidor KATA cada (min) | Frecuencia de las solicitudes de sincronización enviadas al servidor de Central Node. Durante la sincronización, Kaspersky Endpoint Security envía información sobre las tareas y la configuración de la aplicación modificada. |
Enviar telemetría a KATA | Esta funcionalidad le permite desactivar por completo el envío de telemetría al servidor. Si está usando Kaspersky Anti Targeted Attack Platform junto con otra solución que también usa telemetría, puede desactivar la telemetría para KATA (EDR). Esto le permite optimizar la carga del servidor para estas soluciones. Por ejemplo, si tiene implementada la solución Managed Detection and Response y KATA (EDR), puede usar la telemetría de MDR y crear tareas de Respuesta ante amenazas en KATA (EDR). |
Retraso máximo de transmisión de eventos (s) | La aplicación se sincroniza con el servidor para enviar eventos después de que caduque el intervalo de sincronización. La configuración predeterminada es de 30 segundos. |
Habilitar limitación de solicitudes | Esta función permite optimizar la carga en el servidor. Si la casilla de verificación está seleccionada, la aplicación restringe los eventos transmitidos. Si la cantidad de eventos supera los límites configurados, Kaspersky Endpoint Security deja de enviar eventos. |
Cantidad máxima de eventos por hora | La aplicación analiza la secuencia de datos de telemetría y restringe el envío de eventos si la secuencia de eventos supera el límite configurado de eventos por hora. Kaspersky Endpoint Security reanuda el envío de eventos después de una hora. La configuración predeterminada es 3000 eventos por hora. |
Porcentaje de exceso de límite del evento | La aplicación ordena los eventos por tipo (por ejemplo, eventos de "cambios en el registro") y restringe la transmisión de eventos si la proporción de eventos del mismo tipo con respecto al número total de eventos supera el porcentaje límite configurado. Kaspersky Endpoint Security reanuda el envío de eventos cuando la proporción entre otros eventos y el número total de eventos vuelve a ser lo suficientemente grande. La configuración predeterminada es 15 %. |