Endpoint Detection and Response (KATA)
O Kaspersky Endpoint Security for Windows é compatível com o trabalho do componente Kaspersky Endpoint Detection and Response como parte da solução Kaspersky Anti Targeted Attack Platform (EDR (KATA)). Kaspersky Anti Targeted Attack Platform é uma solução projetada para a detecção oportuna de ameaças sofisticadas, como ataques direcionados, ameaças persistentes avançadas (APT) e ataques de dia zero, entre outros. A Kaspersky Anti Targeted Attack Platform inclui dois blocos funcionais: Kaspersky Anti Targeted Attack (doravante denominado “KATA”) e Kaspersky Endpoint Detection and Response (doravante denominado “EDR (KATA)”). É possível comprar o EDR (KATA) separadamente. Para obter informações detalhadas sobre a solução, consulte a Ajuda da Kaspersky Anti Targeted Attack Platform.
O Kaspersky Endpoint Security é instalado em computadores individuais na infraestrutura corporativa de TI e monitora continuamente os processos, as conexões de rede abertas e os arquivos em modificação. As informações sobre eventos no computador são enviadas para o servidor do Kaspersky Anti Targeted Attack Platform. Nesse caso, o Kaspersky Endpoint Security também envia informações ao servidor do Kaspersky Anti Targeted Attack Platform sobre ameaças descobertas pelo aplicativo, além das informações sobre o processamento dos resultados dessas ameaças.
A integração do EDR (KATA) é configurada no console do Kaspersky Security Center. Então, o agente integrado é gerenciado com o uso do console Kaspersky Anti Targeted Attack Platform, inclusive a execução de tarefas, gerenciamento de objetos em quarentena, exibição de relatórios e outras ações.
Configurações do Endpoint Detection and Response (KATA)
Parâmetro | Descrição |
|---|---|
Configurações de conexão do servidores KATA | Tempo limite. Tempo limite máximo de resposta do servidor do nó central. Quando o tempo limite se esgota, o Kaspersky Endpoint Security tenta estabelecer conexão com um servidor de nó central diferente. Certificado TLS do servidor. Certificado TLS para estabelecer uma conexão confiável com o servidor do nó central. É possível obter um certificado TLS no console da Kaspersky Anti Targeted Attack Platform (consulte as instruções na ajuda da Kaspersky Anti Targeted Attack Platform). Usar autenticação bidirecional. Autenticação bidirecional ao estabelecer uma conexão segura entre o Kaspersky Endpoint Security e o nó central. Para usar a autenticação bidirecional, é necessário ativá-la nas configurações do nó central, obter um contêiner de criptografia e definir uma senha para proteger o contêiner criptográfico. Um contêiner criptográfico é um arquivo PFX com um certificado e uma chave privada. É possível obter um contêiner criptográfico no console da Kaspersky Anti Targeted Attack Platform (consulte as instruções na ajuda da Kaspersky Anti Targeted Attack Platform). Depois de definir as configurações do nó central, é necessário também habilitar a autenticação bidirecional nas configurações do Kaspersky Endpoint Security e carregar um contêiner criptográfico protegido por senha. O contêiner criptográfico deve ser protegido por senha. Não é possível adicionar um contêiner criptográfico sem senha. |
Servidores KATA | Configurações de conexão do servidor do nó central. É possível inserir um endereço IP (IPv4 ou IPv6). |
Enviar solicitação de sincronização para o servidores KATA a cada (minutos) | Frequência de solicitações de sincronização enviadas ao servidor do nó central. Durante a sincronização, o Kaspersky Endpoint Security envia informações sobre as configurações e tarefas modificadas do aplicativo. |
Enviar telemetria à KATA | Essa funcionalidade permite desativar completamente o envio de telemetria para o servidor. Caso esteja usando o Kaspersky Anti Targeted Attack Platform juntamente com outra solução que também usa telemetria, é possível desativá-la para KATA (EDR). Isso permite otimizar a carga do servidor para essas soluções. Por exemplo, caso tenha a solução Managed Detection and Response e o KATA (EDR) implantados, será possível usar a telemetria MDR e criar tarefas de Resposta a Ameaças no KATA (EDR). |
Atraso máximo na transmissão de eventos (segundos) | O aplicativo sincroniza com o servidor para enviar eventos após expirar o intervalo de sincronização. A configuração padrão é 30 segundos. |
Ativar a limitação de solicitações | Esse recurso ajuda a otimizar a carga no computador. Caso a caixa de seleção esteja marcada, o aplicativo restringirá os eventos transmitidos. Caso o número de eventos exceda os limites configurados, o Kaspersky Endpoint Security interromperá o envio de eventos. |
Número máximo de eventos por hora | O aplicativo analisa o fluxo de dados de telemetria e restringe o envio de eventos caso ele exceda o limite de eventos configurado por hora. O Kaspersky Endpoint Security retoma o envio de eventos após uma hora. A configuração padrão é de 3 mil eventos por hora. |
Porcentagem de excesso de limite de evento | O aplicativo ordena os eventos por tipo (por exemplo, eventos “alterações no registro”) e restringe a transmissão de eventos caso a proporção de eventos do mesmo tipo para o número total de eventos exceda o limite configurado em porcentagem. O Kaspersky Endpoint Security retoma o envio de eventos quando a proporção de outros eventos para o número total de eventos torna-se volumosa o suficiente novamente. A configuração padrão é 15%. |