Интеграция с Kaspersky Endpoint Detection and Response (KATA)
12 декабря 2023
ID 246827
Kaspersky Endpoint Detection and Response (KATA) (далее также EDR (KATA)) – компонент в составе решения Kaspersky Anti Targeted Attack Platform, которое предназначено для защиты IT-инфраструктуры организации и своевременного обнаружения таких угроз, как атаки "нулевого дня", целевые атаки и сложные целевые атаки advanced persistent threats (далее также "APT"). Подробнее о решении см. в справке Kaspersky Anti Targeted Attack Platform.
При взаимодействии с EDR (KATA) приложение Kaspersky Endpoint Security может отправлять на сервер Kaspersky Anti Targeted Attack Platform с компонентом Central Node (далее также сервер KATA) данные о событиях на устройствах (телеметрию) и выполнять задачи, полученные от Kaspersky Anti Targeted Attack Platform, направленные на обеспечение функций безопасности.
Эта функциональность не поддерживается в KESL-контейнере.
Не поддерживается управление параметрами интеграции с EDR (KATA) через Kaspersky Security Center Cloud Console.
Для интеграции с EDR (KATA) должен быть включен компонент Анализ поведения.
Интеграция приложения Kaspersky Endpoint Security с EDR (KATA) возможна, только если этот компонент включен. В противном случае необходимые данные телеметрии не передаются.
Дополнительно EDR (KATA) может использовать данные, полученные от следующих компонентов:
- Защита от файловых угроз.
- Защита от сетевых угроз.
- Защита от веб-угроз.
Во время интеграции с EDR (KATA) устройства с Kaspersky Endpoint Security устанавливают защищенные соединения с сервером KATA по протоколу HTTPS. Для обеспечения безопасности соединения используются следующие сертификаты, выданные cервером KATA:
- Сертификат сервера KATA. Соединение шифруется с помощью TLS-сертификата сервера. Вы можете повысить уровень безопасности соединения, включив проверку сертификата сервера на стороне Kaspersky Endpoint Security. Для этого вам нужно добавить сертификат сервера во время настройки параметров интеграции.
- Сертификат клиента. Этот сертификат используется для дополнительной защиты подключения с помощью двусторонней аутентификации (проверки устройств с Kaspersky Endpoint Security сервером KATA). Один и тот же сертификат клиента может использоваться несколькими устройствами. По умолчанию сервер KATA не выполняет проверку сертификатов клиентов, но проверка может быть включена на стороне сервера KATA. В этом случае вам нужно включить двустороннюю аутентификацию и добавить сертификат клиента в параметрах интеграции (криптоконтейнер с сертификатом и закрытым ключом).
Сертификаты для защиты соединения с сервером KATA предоставляет администратор Kaspersky Anti Targeted Attack Platform.
Для подключения к серверу KATA используется прокси-сервер, если использование прокси-сервера настроено в общих параметрах приложения Kaspersky Endpoint Security.
Параметры интеграции с Kaspersky Endpoint Detection and Response (KATA)
Параметр | Описание |
|---|---|
Интеграция с Endpoint Detection and Response (KATA) включена / выключена | Включает или выключает интеграцию приложения Kaspersky Endpoint Security с EDR (KATA). По умолчанию интеграция выключена. |
Параметры подключения к серверам | По ссылке Настроить в блоке открывается окно, в котором вы можете настроить общие параметры подключения к серверам KATA, добавить сертификат сервера и настроить двустороннюю аутентификацию при подключении к серверам KATA. |
Серверы КАТА | Таблица содержит список серверов KATA, к которым настроено подключение. По кнопке Добавить открывается окно, в котором вы можете настроить подключение к серверу KATA. С помощью кнопок над таблицей вы можете изменять и удалять ранее настроенные параметры подключения. |
Максимальная задержка отправки событий (сек.) | Максимальная задержка отправки событий на сервер KATA в секундах. Значение по умолчанию: |
Включить регулирование количества событий | Включает или выключает регулирование количества событий, отправляемых на сервер KATA. |
Максимальное количество событий в час | Максимальное количество событий в час. Значение по умолчанию: |
Процент превышения лимита событий | Процент превышения лимита событий. Передача событий ограничивается, если соотношение событий одного типа (например, событий изменений в реестре) к общему количеству событий превышает установленное ограничение в процентах. Значение по умолчанию: |
