Endpoint Detection and Response (KATA)
Kaspersky Endpoint Security for Windows acceptă lucrul cu componenta Kaspersky Endpoint Detection and Response ca parte a soluției Kaspersky Anti Targeted Attack Platform (EDR (KATA)). Kaspersky Anti Targeted Attack Platform este o soluție concepută pentru detectarea în timp util a amenințărilor sofisticate, cum ar fi atacuri direcționate, amenințări persistente avansate (APT), atacuri zero-day și altele. Kaspersky Anti Targeted Attack Platform include două blocuri funcționale: Kaspersky Anti Targeted Attack (denumit în continuare „KATA”) și Kaspersky Endpoint Detection and Response (denumit în continuare „EDR (KATA)”). Puteți cumpăra EDR (KATA) separat. Pentru informații detaliate despre soluție, consultați Ajutor pentru Kaspersky Anti Targeted Attack Platform.
Kaspersky Endpoint Security este instalat pe computere individuale din infrastructura IT corporativă și monitorizează continuu procesele, conexiunile la rețea deschise și fișierele care sunt modificate. Informațiile despre evenimentele de pe computer (date de telemetrie) sunt trimise către serverul Kaspersky Anti Targeted Attack Platform. În acest caz, aplicația Kaspersky Endpoint Security trimite, de asemenea, informații către serverul Kaspersky Anti Targeted Attack Platform despre amenințările descoperite de aplicație, precum și informații despre rezultatele procesării pentru aceste amenințări.
Integrarea EDR (KATA) este configurată pe consola Kaspersky Security Center. Agentul încorporat este apoi gestionat utilizând consola Kaspersky Anti Targeted Attack Platform, inclusiv executarea activităților, gestionarea obiectelor aflate în carantină, vizualizarea rapoartelor și alte acțiuni.
Setări Endpoint Detection and Response (KATA)
Parametru | Descriere |
|---|---|
Settings for connecting to KATA servers | Timeout. Expirarea timpului maxim de răspuns al serverului Central Node. Când timpul de expirare se termină, Kaspersky Endpoint Security încearcă să se conecteze la un alt server Central Node. Server TLS certificate. Certificat TLS pentru stabilirea unei conexiuni de încredere cu serverul Central Node. Puteți obține un certificat TLS în consola Kaspersky Anti Targeted Attack Platform (consultați instrucțiunile din Ajutor Kaspersky Anti Targeted Attack Platform). Use two-way authentication. Autentificare mutuală la stabilirea unei conexiuni securizate între Kaspersky Endpoint Security și Central Node. Pentru a utiliza autentificarea mutuală, trebuie să activați autentificarea mutuală în setările Central Node, apoi să obțineți un container crypto și să setați o parolă pentru a proteja containerul crypto. Un cripto-container este o arhivă PFX cu un certificat și o cheie privată. Puteți obține un cripto-container în consola Kaspersky Anti Targeted Attack Platform (consultați instrucțiunile din Ajutor Kaspersky Anti Targeted Attack Platform). După configurarea setărilor Central Node, trebuie să activați și autentificarea mutuală în setările Kaspersky Endpoint Security și să încărcați un container crypto protejat prin parolă. Criptocontainerul trebuie să fie protejat prin parolă. Nu este posibil să adăugați un criptocontainer cu o parolă necompletată. |
KATA servers | Setări conectare la serverul Central Node. Puteți introduce o adresă IP (IPv4 sau IPv6). |
Send sync request to KATA server every (min) | Frecvența solicitărilor de sincronizare trimise către serverul Central Node. În timpul sincronizării, Kaspersky Endpoint Security trimite informații despre setările și activitățile modificate ale aplicației. |
Send telemetry to KATA | Această funcționalitate vă permite să dezactivați complet trimiterea de telemetrie către server. Dacă utilizați Kaspersky Anti Targeted Attack Platform împreună cu o altă soluție care utilizează, de asemenea, telemetria, puteți dezactiva telemetria pentru KATA (EDR). Acest lucru vă permite să optimizați încărcarea serverului pentru aceste soluții. De exemplu, dacă aveți soluțiile Managed Detection and Response și KATA (EDR) implementate, puteți utiliza telemetria MDR și puteți crea activități Răspuns la amenințare în KATA (EDR). |
Maximum events transmission delay (sec) | Aplicația se sincronizează cu serverul pentru a trimite evenimente după expirarea intervalului de sincronizare. Valoarea implicită este 30 de secunde. |
Enable request throttling | Această caracteristică ajută la optimizarea încărcării serverului. În cazul în care caseta de selectare este bifată, aplicația restricționează evenimentele transmise. Dacă numărul de evenimente depășește limitele configurate, Kaspersky Endpoint Security oprește trimiterea evenimentelor. |
Maximum number of events per hour | Aplicația analizează fluxul de date de telemetrie și restricționează trimiterea evenimentelor dacă fluxul de evenimente depășește limita de evenimente pe oră configurată. Kaspersky Endpoint Security reia trimiterea evenimentelor după o oră. Valoarea implicită este de 3000 de evenimente pe oră. |
Percentage of event limit excess | Aplicația sortează evenimentele după tip (de exemplu, evenimente „modificări în registry”) și restricționează transmiterea evenimentelor dacă raportul dintre evenimente de același tip și numărul total de evenimente depășește limita configurată în procente. Kaspersky Endpoint Security reia trimiterea evenimentelor atunci când raportul dintre alte evenimente și numărul total de evenimente devine din nou suficient de mare. Valoarea implicită este 15%. |