Endpoint Detection and Response (KATA)
Kaspersky Endpoint Security w wersji 12.1 zawiera teraz wbudowanego agenta do zarządzania komponentem Kaspersky Endpoint Detection and Response w ramach rozwiązania Kaspersky Anti Targeted Attack Platform. Kaspersky Anti Targeted Attack Platform to rozwiązanie zaprojektowane w celu szybkiego wykrywania złożonych zagrożeń, takich jak ataki ukierunkowane, zaawansowane trwałe zagrożenia (APT), ataki zero-day i inne. Kaspersky Anti Targeted Attack Platform zawiera dwie sekcje funkcjonalne: Kaspersky Anti Targeted Attack (zwana dalej „KATA”) oraz Kaspersky Endpoint Detection and Response (zwana dalej również „EDR (KATA)”). Możesz kupić EDR (KATA) osobno. Szczegółowe informacje na temat rozwiązania można znaleźć w systemie pomocy dla Kaspersky Anti Targeted Attack Platform.
Aplikacja Kaspersky Endpoint Security jest instalowana na pojedynczych komputerach w korporacyjnej infrastrukturze IT i cały czas monitoruje procesy, otwiera połączenia sieciowe i modyfikowane pliki. Informacje o zdarzeniach na komputerze (dane telemetryczne) są wysyłane na serwer Kaspersky Anti Targeted Attack Platform. W takim przypadku Kaspersky Endpoint Security wysyła również informacje do serwera Kaspersky Anti Targeted Attack Platform o zagrożeniach wykrytych przez aplikację oraz informacje o wynikach przetwarzania tych zagrożeń.
Integracja EDR (KATA) jest konfigurowana na konsoli Kaspersky Security Center. Wbudowany agent jest następnie zarządzany przy użyciu konsoli Kaspersky Anti Targeted Attack Platform, w tym uruchamianie zadań, zarządzanie obiektami poddanymi kwarantannie, przeglądanie raportów i inne działania.
Ustawienia Endpoint Detection and Response (KATA)
Parametr | Opis |
|---|---|
Ustawienia na potrzeby łączenia z serwerami KATA | Limit czasu. Maksymalny limit czasu odpowiedzi serwera węzła centralnego. Po przekroczeniu limitu czasu Kaspersky Endpoint Security próbuje połączyć się z innym serwerem węzła centralnego. Certyfikat TLS serwera. Certyfikat TLS do nawiązania zaufanego połączenia z serwerem Central Node. Możesz uzyskać certyfikat TLS w konsoli Kaspersky Anti Targeted Attack Platform (zobacz instrukcje w Pomoc Kaspersky Anti Targeted Attack Platform). Zastosuj uwierzytelnianie dwukierunkowe. Uwierzytelnianie dwukierunkowe podczas nawiązywania bezpiecznego połączenia między Kaspersky Endpoint Security a węzłem centralnym. Aby korzystać z uwierzytelniania dwukierunkowego, musisz włączyć uwierzytelnianie dwukierunkowe w ustawieniach węzła centralnego, a następnie uzyskać kryptokontener i ustawić hasło chroniące kryptokontener. Kontener kryptograficzny to archiwum PFX z certyfikatem i kluczem prywatnym. Kontener kryptograficzny można uzyskać w konsoli Kaspersky Anti Targeted Attack Platform (zobacz instrukcje w pliku Pomoc Kaspersky Anti Targeted Attack Platform). Po skonfigurowaniu ustawień węzła centralnego należy również włączyć uwierzytelnianie dwukierunkowe w ustawieniach Kaspersky Endpoint Security i załadować chroniony hasłem kontener kryptograficzny. Kontener szyfrowania musi być zabezpieczony hasłem. Nie ma możliwości dodania kontenera szyfrowania z pustym hasłem. |
Serwery KATA | Ustawienia połączenia z serwerem węzła centralnego. Możesz wprowadzić adres IP (IPv4 lub IPv6). |
Wysyłaj żądanie synchronizacji z serwerem KATA co (min) | Częstotliwość żądań synchronizacji wysyłanych do serwera węzła centralnego. Podczas synchronizacji Kaspersky Endpoint Security wysyła informacje o zmodyfikowanych ustawieniach i zadaniach aplikacji. |
Wyślij dane telemetryczne do KATA | Ta funkcja pozwala całkowicie wyłączyć przesyłanie danych telemetrycznych do serwera. Jeśli używasz Kaspersky Anti Targeted Attack Platform wraz z innym rozwiązaniem, które również wykorzystuje telemetrię, możesz wyłączyć telemetrię dla KATA (EDR). Pozwala to zoptymalizować obciążenie serwera dla tych rozwiązań. Na przykład, jeśli masz wdrożone rozwiązanie Managed Detection and Response i KATA (EDR), możesz użyć telemetrii MDR i utworzyć zadania Threat Response w KATA (EDR). |
Maksymalne opóźnienie transmisji zdarzenia (s) | Aplikacja synchronizuje się z serwerem w celu wysyłania zdarzeń po wygaśnięciu przedziału synchronizacji. Domyślnie ustawienie to 30 sekund. |
Włącz ograniczanie żądań | Ta funkcja pomaga zoptymalizować obciążenie serwera. Jeśli to pole jest zaznaczone, aplikacja ogranicza transmitowane zdarzenia. Jeśli liczba zdarzeń przekroczy skonfigurowane limity, Kaspersky Endpoint Security przestanie wysyłać zdarzenia. |
Maksymalna liczba zdarzeń na godzinę | Aplikacja analizuje strumień danych telemetrycznych i ogranicza wysyłanie zdarzeń, jeśli strumień zdarzeń przekroczy skonfigurowany limit zdarzeń na godzinę. Kaspersky Endpoint Security wznawia wysyłanie zdarzeń po godzinie. Ustawienie domyślne to 3000 zdarzeń na godzinę. |
Procent przekroczenia limitu zdarzeń | Aplikacja sortuje zdarzenia według typu (np. zdarzenia „zmiany w rejestrze”) i ogranicza transmisję zdarzeń, jeśli stosunek zdarzeń tego samego typu do całkowitej liczby zdarzeń przekroczy skonfigurowany limit w procentach. Kaspersky Endpoint Security wznawia wysyłanie zdarzeń, gdy stosunek innych zdarzeń do łącznej liczby zdarzeń ponownie stanie się wystarczająco duży. Ustawienie domyślne to 15%. |