Endpoint Detection and Response (KATA)
Kaspersky Endpoint Security for Windows hỗ trợ làm việc với thành phần Kaspersky Endpoint Detection and Response, thuộc giải pháp Kaspersky Anti Targeted Attack Platform (EDR (KATA)). Kaspersky Anti Targeted Attack Platform là một giải pháp được thiết kế để phát hiện kịp thời các mối đe dọa tinh vi, chẳng hạn như các cuộc tấn công chủ đích, các mối đe dọa dai dẳng nâng cao (APT), các cuộc tấn công zero-day, v.v. Kaspersky Anti Targeted Attack Platform bao gồm hai khối chức năng: Kaspersky Anti Targeted Attack (sau đây còn được gọi là "KATA") và Kaspersky Endpoint Detection and Response (sau đây còn được gọi là "EDR (KATA)"). Bạn có thể mua EDR (KATA) riêng. Để biết chi tiết về giải pháp này, vui lòng tham khảo Trợ giúp của Kaspersky Anti Targeted Attack Platform.
Kaspersky Endpoint Security được cài đặt trên các máy tính cá nhân, trên cơ sở hạ tầng CNTT của doanh nghiệp và liên tục giám sát các quy trình, kết nối mạng mở và các tập tin đang được sửa đổi. Thông tin về các sự kiện trên máy tính (dữ liệu đo từ xa) được gửi đến máy chủ của Kaspersky Anti Targeted Attack Platform. Trong trường hợp này, Kaspersky Endpoint Security cũng gửi thông tin đến máy chủ của Kaspersky Anti Targeted Attack Platform về các mối đe dọa được phát hiện bởi ứng dụng, bao gồm cả thông tin về kết quả xử lý các mối đe dọa này.
Việc tích hợp EDR (KATA) được cấu hình trên bảng điều khiển Kaspersky Security Center. Tác nhân tích hợp sau đó được quản lý bằng bảng điều khiển Kaspersky Anti Targeted Attack Platform, bao gồm hoạt động chạy các tác vụ, quản lý các đối tượng được cách ly, xem báo cáo và các hành động khác.
Thiết lập Endpoint Detection and Response (KATA)
Tham số | Mô tả |
|---|---|
Settings for connecting to KATA servers | Timeout. Thời gian chờ phản hồi tối đa của máy chủ Nút trung tâm. Khi hết thời gian chờ, Kaspersky Endpoint Security sẽ cố gắng kết nối với một máy chủ Nút trung tâm khác. Server TLS certificate. Chứng chỉ TLS để thiết lập kết nối được tin tưởng với máy chủ Nút trung tâm. Bạn có thể lấy chứng chỉ TLS trong bảng điều khiển Kaspersky Anti Targeted Attack Platform (xem hướng dẫn trong Trợ giúp của Kaspersky Anti Targeted Attack Platform). Use two-way authentication. Xác thực hai chiều khi thiết lập kết nối bảo mật giữa Kaspersky Endpoint Security và Nút trung tâm. Để sử dụng xác thực hai chiều, bạn cần bật xác thực hai chiều trong cài đặt Nút trung tâm, sau đó lấy bộ chứa mã hóa và đặt mật khẩu để bảo vệ bộ chứa mã hóa. Một bộ chứa mã hóa là kho lưu trữ PFX có chứng chỉ và khóa riêng. Bạn có thể nhận một bộ chứa mã hóa trong bảng điều khiển Kaspersky Anti Targeted Attack Platform (xem hướng dẫn trong Trợ giúp của Kaspersky Anti Targeted Attack Platform). Sau khi cấu hình thiết lập Nút trung tâm, bạn cũng cần bật xác thực hai chiều trong thiết lập của Kaspersky Endpoint Security và tải bộ chứa mã hóa được bảo vệ bằng mật khẩu. Bộ chứa mã hóa phải được bảo vệ bằng mật khẩu. Không thể thêm bộ chứa mã hóa có mật khẩu trống. |
KATA servers | Thiết lập kết nối máy chủ Nút trung tâm. Bạn có thể nhập địa chỉ IP (IPv4 hoặc IPv6). |
Send sync request to KATA server every (min) | Tần suất yêu cầu đồng bộ được gửi đến máy chủ Nút trung tâm. Trong quá trình đồng bộ, Kaspersky Endpoint Security sẽ gửi thông tin về các thiết lập và tác vụ ứng dụng được sửa đổi. |
Send telemetry to KATA | Chức năng này cho phép bạn tắt hoàn toàn việc gửi đo lường từ xa đến máy chủ. Nếu bạn đang sử dụng Kaspersky Anti Targeted Attack Platform cùng với một giải pháp khác cũng sử dụng phép đo lường từ xa, bạn có thể tắt đo lường từ xa cho KATA (EDR). Điều này cho phép bạn tối ưu hóa mức tải máy chủ cho các giải pháp này. Ví dụ: nếu bạn đã triển khai giải pháp Managed Detection and Response solution and KATA (EDR) thì bạn có thể sử dụng đo lường từ xa MDR và tạo các tác vụ Phản hồi về mối đe dọa trong KATA (EDR). |
Maximum events transmission delay (sec) | Ứng dụng sẽ đồng bộ với máy chủ để gửi các sự kiện sau khi hết khoảng thời gian đồng bộ. Thiết lập mặc định là 30 giây. |
Enable request throttling | Tính năng này giúp tối ưu hóa mức tải trên máy chủ. Nếu hộp kiểm được chọn, ứng dụng sẽ hạn chế các sự kiện được truyền gửi. Nếu số lượng sự kiện vượt quá giới hạn được cấu hình thì Kaspersky Endpoint Security sẽ ngừng gửi sự kiện. |
Maximum number of events per hour | Ứng dụng sẽ phân tích luồng dữ liệu đo từ xa và hạn chế gửi sự kiện nếu luồng sự kiện vượt quá giới hạn số sự kiện mỗi giờ đã được cấu hình. Kaspersky Endpoint Security sẽ tiếp tục gửi sự kiện sau một giờ. Thiết lập mặc định là 3000 sự kiện mỗi giờ. |
Percentage of event limit excess | Ứng dụng sẽ sắp xếp sự kiện theo loại (ví dụ: sự kiện "thay đổi trong registry") và hạn chế truyền gửi sự kiện nếu tỷ lệ sự kiện cùng loại trên tổng số sự kiện vượt quá hạn mức được cấu hình theo tỷ lệ. Kaspersky Endpoint Security sẽ tiếp tục gửi sự kiện khi tỷ lệ của các sự kiện khác trên tổng số sự kiện trở lại đủ lớn. Thiết lập mặc định là 15%. |