Задача Интеграция с Kaspersky Endpoint Detection and Response (KATA) (KATAEDR, ID:24)
15 апреля 2024
ID 245712
Приложение Kaspersky Endpoint Security совместимо с решением Kaspersky Anti Targeted Attack Platform, которое предназначено для защиты IT-инфраструктуры организации и своевременного обнаружения таких угроз, как атаки "нулевого дня", целевые атаки и сложные целевые атаки advanced persistent threats (далее также "APT"). Подробнее о решении см. в справке Kaspersky Anti Targeted Attack Platform.
Kaspersky Endpoint Detection and Response (KATA) (далее также EDR (KATA)) – компонент в составе решения Kaspersky Anti Targeted Attack Platform.
При взаимодействии с EDR (KATA) приложение Kaspersky Endpoint Security может выполнять следующие функции:
- Отправлять данные о событиях на устройствах (телеметрию) на сервер Kaspersky Anti Targeted Attack Platform с компонентом Central Node (далее также сервер KATA). Приложение Kaspersky Endpoint Security передает на сервер KATA данные наблюдения за процессами, открытыми сетевыми соединениями и изменяемыми файлами, а также данные об угрозах, обнаруженных приложением, и данные о результатах обработки этих угроз.
- Выполнять следующие ответные действия, направленные на обеспечение функций безопасности, по командам, полученным от Kaspersky Anti Targeted Attack Platform:
- Задача Получить файл (Get file task) позволяет получать файлы с устройств пользователей. Например, вы можете настроить получение файла журнала событий, который создает сторонняя программа.
- Задача Удалить файл (Delete file task) позволяет удаление файла с устройства.
- Задача Запустить процесс (Run process) позволяет удаленно запускать файлы на устройстве. Например, вы можете удаленно запустить утилиту, которая создает файл с конфигурацией устройства, а затем получить созданный файл с помощью задачи Получить файл.
- Задача Завершить процесс (Terminate process) позволяет удаленно завершать процессы на устройстве. Например, вы можете удаленно завершить работу утилиты проверки скорости интернета, которая была запущена с помощью задачи запуска процесса.
- Задача Поиск IOC (IOC Scan task) позволяет обнаруживать индикаторы компрометации на устройстве и выполнять действия по реагированию на угрозы. Индикатор компрометации (англ. Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к устройству (компрометация данных). Для поиска IOC используются IOC-файлы. При выполнении задачи Поиск IOC проверка по IOC-терминам (свойствам IOC-объекта, например, хеш-сумме файла) выполняется только в основном пространстве имен операционной системы. Задача Поиск IOC не вычисляет хеш-суммы файлов размером более 200 МБ.
- Сетевая изоляция устройства позволяет изолировать устройства от сети. Вы можете выключить сетевую изоляцию устройства в случае потери связи с сервером KATA после включения сетевой изоляции.
Ограничения сетевой изоляции
При использовании сетевой изоляции настроятельно рекомендуется ознакомиться с ограничениями, описанными ниже.
Для работоспособности сетевой изоляции требуется, чтобы приложение Kaspersky Endpoint Security было запущено. Во время сбоя в работе приложения Kaspersky Endpoint Security (когда приложение не запущено), блокировка трафика при включении сетевой изоляции решением Kaspersky Anti Targeted Attack Platform не гарантируется.
Транзитный трафик при включенной сетевой изоляции поддерживается с ограничениями и может фильтроваться.
DHCP и DNS в исключения из сетевой изоляции автоматически не добавляются, поэтому если сетевой адрес какого-то ресурса был изменен во время сетевой изоляции, приложение Kaspersky Endpoint Security не сможет получить к нему доступ. Это же относится к узлам отказоустойчивого сервера KATA. Не рекомендуется менять их адреса, чтобы приложение Kaspersky Endpoint Security не потеряло с ними связь.
Прокси-сервер также в исключения из сетевой изоляции автоматически не добавляется, поэтому требуется добавить его в исключения вручную, чтобы приложение Kaspersky Endpoint Security не потеряло связь с сервером KATA.
Добавление процесса в сетевую изоляцию и исключение процесса из сетевой изоляции по имени не поддерживается.
При использовании сетевой изоляции рекомендуется использовать прокси-сервер KSN для взаимодействия с Kaspersky Security Network, использовать Kaspersky Security Center в качестве прокси-сервера для активации приложения и указать Kaspersky Security Center в качестве источника обновлений баз. В случае невозможности использования Kaspersky Security Center в качестве прокси-сервера, настройте параметры нужного прокси-сервера и добавьте его в исключения.
Условия интеграции
Задача Интеграция с Kaspersky Endpoint Detection and Response (KATA) позволяет настроить и включить интеграцию приложения Kaspersky Endpoint Security с компонентом EDR (KATA). Вы также можете управлять интеграцией приложения Kaspersky Endpoint Security с EDR (KATA) с помощью Консоли администрирования Kaspersky Security Center и Kaspersky Security Center Web Console.
Управление параметрами интеграции с EDR (KATA) через Kaspersky Security Center Cloud Console не поддерживается.
Для интеграции с EDR (KATA) должна быть запущена задача Анализ поведения.
Интеграция приложения Kaspersky Endpoint Security с EDR (KATA) возможна, только если задача Анализ поведения запущена. В противном случае необходимые данные телеметрии не передаются.
Для работы исключений из телеметрии требуется, чтобы интеграция приложения Kaspersky Endpoint Security с решением Kaspersky Managed Detection and Response была выключена. Если интеграция приложения Kaspersky Endpoint Security с решением Kaspersky Managed Detection and Response включена, исключения по процессам не применяются.
Дополнительно EDR (KATA) может использовать данные, полученные от следующих задач:
- Защита от файловых угроз.
- Защита от сетевых угроз.
- Защита от веб-угроз.
Безопасность соединения
Во время интеграции с EDR (KATA), устройства с Kaspersky Endpoint Security устанавливают защищенные соединения с сервером KATA по протоколу HTTPS. Для обеспечения безопасности соединения используются следующие сертификаты, выданные cервером KATA:
- Сертификат сервера KATA. Соединение шифруется с помощью TLS-сертификата сервера. Вы можете повысить уровень безопасности соединения, включив проверку сертификата сервера на стороне Kaspersky Endpoint Security. Для этого вам нужно добавить сертификат сервера интеграции перед запуском задачи Интеграция с Kaspersky Endpoint Detection and Response (KATA).
- Сертификат клиента. Этот сертификат используется для дополнительной защиты подключения с помощью двусторонней аутентификации (проверки устройств с Kaspersky Endpoint Security сервером KATA). Один и тот же сертификат клиента может использоваться несколькими устройствами. По умолчанию сервер KATA не выполняет проверку сертификатов клиентов, но двусторонняя аутентификация может быть включена на стороне Kaspersky Anti Targeted Attack Platform. В этом случае вам нужно включить двустороннюю аутентификацию в параметрах задачи Интеграция с Kaspersky Endpoint Detection and Response (KATA) и добавить сертификат клиента (криптоконтейнер с сертификатом и закрытым ключом).
Сертификаты для защиты соединения с сервером KATA предоставляет администратор Kaspersky Anti Targeted Attack Platform.
Для подключения к серверу KATA используется прокси-сервер, если использование прокси-сервера настроено в общих параметрах приложения Kaspersky Endpoint Security.
Запись событий
При интеграции приложения Kaspersky Endpoint Security с решением Kaspersky Anti Targeted Attack Platform в журнал systemd может записываться большое количество событий. Если вы хотите отключить запись событий аудита в systemd, вам нужно отключить сокет systemd-journald-audit и перезагрузить операционную систему.
Чтобы отключить сокет systemd-journald-audit, выполните следующие команды:
systemctl stop systemd-journald-audit.socket
systemctl disable systemd-journald-audit.socket
systemctl mask systemd-journald-audit.socket