Endpoint Detection and Response (KATA)
Kaspersky Endpoint Security voor Windows ondersteund het werken met de Kaspersky Endpoint Detection and Response als onderdeel van de Kaspersky Anti Targeted Attack Platform (EDR (KATA))-oplossing. Kaspersky Anti Targeted Attack Platform is een oplossing voor de tijdige detectie van geavanceerde dreigingen, zoals doelgerichte aanvallen, geavanceerde aanhoudende dreigingen (Advanced Persistent Threats, APT), en zero-day-aanvallen en anderen. Kaspersky Anti Targeted Attack Platform omvat twee functionele blokken: Kaspersky Anti Targeted Attack (hierna ook wel 'KATA' genoemd) en Kaspersky Endpoint Detection and Response (hierna ook wel 'EDR (KATA)' genoemd). U kunt EDR (KATA) afzonderlijk aanschaffen. Voor informatie over de oplossing raadpleegt u de Help van Kaspersky Anti Targeted Attack Platform.
Het programma Kaspersky Endpoint Security wordt op individuele computers op de IT-infrastructuur van het bedrijf geïnstalleerd en bewaakt continu processen, open netwerkverbindingen en bestanden die worden gewijzigd. Informatie over gebeurtenissen op de computer (telemetriegegevens) wordt verzonden naar de Kaspersky Anti Targeted Attack Platform-server. In dit geval verzendt Kaspersky Endpoint Security ook informatie naar de Kaspersky Anti Targeted Attack Platform-server over dreigingen gevonden door het programma, evenals informatie over verwerkingsresultaten voor deze dreigingen.
De EDR (KATA)-integratie wordt geconfigureerd op de Kaspersky Security Center-console. De ingebouwde agent wordt vervolgens beheerd met behulp van de Kaspersky Anti Targeted Attack Platform-console, inclusief het uitvoeren van taken, het beheren van in quarantaine geplaatste objecten, het bekijken van rapporten en andere acties.
Instellingen Endpoint Detection and Response (KATA)
Parameter | Beschrijving |
|---|---|
Settings for connecting to KATA servers | Timeout. Maximale time-out voor de serverrespons van Central Node. Wanneer de time-out is verstreken, probeert Kaspersky Endpoint Security verbinding te maken met een andere Central Node-server. Server TLS certificate. TLS-certificaat voor het tot stand brengen van een vertrouwde verbinding met de Central Node-server. U kunt een TLS-certificaat verkrijgen in de Kaspersky Anti Targeted Attack Platform-console (zie de instructies in de Help van Kaspersky Anti Targeted Attack Platform). Use two-way authentication. Tweerichtingsverificatie bij het tot stand brengen van een beveiligde verbinding tussen Kaspersky Endpoint Security en Central Node. Om tweerichtingsverificatie te gebruiken, moet u tweerichtingsverificatie inschakelen in de Central Node-instellingen, vervolgens een crypto-container ophalen en een wachtwoord instellen om de crypto-container te beschermen. Een crypto-container is een PFX-archief met een certificaat en een privésleutel. U kunt een crypto-container verkrijgen in de Kaspersky Anti Targeted Attack Platform-console (zie de instructies in de Help van Kaspersky Anti Targeted Attack Platform). Na het configureren van de Central Node-instellingen, moet u ook tweerichtingsverificatie inschakelen in de instellingen van Kaspersky Endpoint Security en een met een wachtwoord beveiligde crypto-container laden. De crypto-container moet met een wachtwoord worden beveiligd. Het is niet mogelijk om een crypto-container toe te voegen met een leeg wachtwoord. |
KATA servers | Instellingen central node serververbinding. U kunt een IP-adres (IPv4 of IPv6) invoeren. |
Send sync request to KATA server every (min) | Frequentie van synchronisatieverzoeken die naar de Central Node-server worden verzonden. Tijdens de synchronisatie verzendt Kaspersky Endpoint Security informatie over gewijzigde programma-instellingen en -taken. |
Send telemetry to KATA | Met deze functionaliteit kunt u het verzenden van telemetrie naar de server volledig uitschakelen. Als u Kaspersky Anti Targeted Attack Platform gebruikt in combinatie met een andere oplossing die ook telemetrie gebruikt, kunt u telemetrie voor KATA (EDR) uitschakelen. Hiermee kunt u de serverbelasting voor deze oplossingen optimaliseren. Als u bijvoorbeeld de Managed Detection and Response-oplossing en KATA (EDR) hebt geïmplementeerd, kunt u MDR-telemetrie gebruiken en Threat Response-taken maken in KATA (EDR). |
Maximum events transmission delay (sec) | Het programma synchroniseert met de server om gebeurtenissen te verzenden nadat het synchronisatie-interval is verlopen. De standaardinstelling is 30 seconden. |
Enable request throttling | Dit helpt de belasting op de server te optimaliseren. Als het selectievakje is ingeschakeld, beperkt het programma de verzonden gebeurtenissen. Als het aantal gebeurtenissen de ingestelde limieten overschrijdt, stopt Kaspersky Endpoint Security met het verzenden van gebeurtenissen. |
Maximum number of events per hour | Het programma analyseert de telemetriegegevensstroom en beperkt het verzenden van gebeurtenissen als de gebeurtenisstroom de geconfigureerde limiet voor gebeurtenissen per uur overschrijdt. Kaspersky Endpoint Security hervat het verzenden van gebeurtenissen na een uur. De standaardinstelling is 3000 gebeurtenissen per uur. |
Percentage of event limit excess | Het programma sorteert gebeurtenissen op type (bijvoorbeeld 'wijzigingen in het register'-gebeurtenissen) en beperkt de overdracht van gebeurtenissen als de verhouding tussen gebeurtenissen van hetzelfde type en het totale aantal gebeurtenissen de geconfigureerde limiet overschrijdt. Kaspersky Endpoint Security hervat het verzenden van gebeurtenissen wanneer de verhouding tussen andere gebeurtenissen en het totale aantal gebeurtenissen opnieuw groot genoeg is. De standaardinstelling is 15 %. |