Kaspersky Endpoint Detection and Response (KATA) 集成任务(KATAEDR,ID:24)
2023年12月20日
ID 245712
Kaspersky Endpoint Security 与 Kaspersky Anti Targeted Attack Platform 解决方案兼容,旨在保护组织的 IT 基础设施并迅速检测威胁,例如零日攻击、针对性攻击和高级持续性威胁 (APT)。要了解更多信息,请查看 Kaspersky Anti Targeted Attack Platform 帮助。
Kaspersky Endpoint Detection and Response (KATA) (EDR (KATA)) 是 Kaspersky Anti Targeted Attack Platform 解决方案的一个组件。
与 EDR (KATA) 交互时,Kaspersky Endpoint Security 可以执行以下功能:
- 将有关设备上事件的数据(遥测数据)发送到具有中央节点组件(“KATA 服务器”)的 Kaspersky Anti Targeted Attack Platform 服务器。Kaspersky Endpoint Security 向 KATA 服务器发送有关进程、打开的网络连接和修改文件的监控数据,以及有关应用程序检测到的威胁的数据和处理这些威胁的结果数据。
- 根据从 Kaspersky Anti Targeted Attack Platform 收到的命令,执行以下旨在确保保护功能的响应操作:
- “获取文件”任务允许您从用户设备获取文件。例如,您可以将应用程序配置为获取第三方程序生成的事件日志文件。
- “删除文件”任务允许您从设备中删除文件。
- “运行进程”任务允许您远程在设备上运行文件。例如,您可以远程运行用于创建设备配置文件的实用程序,然后使用“获取文件”任务检索所创建的文件。
- “终止进程”任务允许您远程终止设备上的进程。例如,您可以远程终止使用“运行进程”任务启动的互联网速度测试实用程序。
- IOC 扫描任务允许您检测设备上的入侵指标并执行操作以响应威胁。入侵指标 (IOC) 是一组有关对象或活动的数据,指示对设备的未经授权访问(入侵数据)。IOC 文件用于搜索 IOC。IOC 搜索任务仅在操作系统的主命名空间中检查 IOC 项(IOC 对象的属性,例如文件哈希)。IOC 搜索任务不会计算大于 200 MB 的文件的哈希。
- 网络设备隔离允许您将设备与网络隔离。如果在启用网络隔离后与 KATA 服务器的连接丢失,您可以禁用设备的网络隔离。
网络隔离限制
使用网络隔离时,我们强烈建议您熟悉下述限制。
要使网络隔离起作用,必须运行 Kaspersky Endpoint Security。如果 Kaspersky Endpoint Security 出现故障(并且该应用程序未运行),当 Kaspersky Anti Targeted Attack Platform 启用网络隔离时,流量可能不会被阻止。
启用网络隔离的传输流量受到支持,但有限制,并且可能会被过滤。
DHCP 和 DNS 不会自动添加到网络隔离例外中,因此如果在网络隔离期间更改资源的网络地址,Kaspersky Endpoint Security 将无法访问该资源。这同样适用于容错 KATA 服务器的节点。我们建议不要更改它们的地址,这样 Kaspersky Endpoint Security 不会与它们失去联系。
代理服务器也不会被自动添加到网络隔离排除项中,因此您需要手动将其添加到排除项中,以便 Kaspersky Endpoint Security 不会失去与 KATA 服务器的联系。
不支持按名称向网络隔离添加进程和从网络隔离中排除进程。
使用网络隔离时,我们建议使用 KSN 代理服务器与卡巴斯基安全网络交互、使用 Kaspersky Security Center 作为代理服务器来激活应用程序,并指定 Kaspersky Security Center 作为数据库更新源。如果无法使用 Kaspersky Security Center 作为代理服务器,请配置所需代理服务器的设置并将其添加到例外中。
集成条件
Kaspersky Endpoint Detection and Response (KATA) 集成任务允许您配置和启用 Kaspersky Endpoint Security 应用程序与 EDR (KATA) 组件的集成。您还可以使用 Kaspersky Security Center 管理控制台和 Kaspersky Security Center Web Console 管理 Kaspersky Endpoint Security 与 EDR (KATA) 的集成。
无法通过 Kaspersky Security Center 云控制台管理与 EDR (KATA) 集成的设置。
要与 EDR (KATA) 集成,必须启动行为检测任务。
仅当行为检测任务启动后,Kaspersky Endpoint Security 才能与 EDR (KATA) 集成。否则,无法传输所需的遥测数据。
要使遥测排除项起作用,必须禁用 Kaspersky Endpoint Security 和卡巴斯基托管检测与响应解决方案的集成。如果启用 Kaspersky Endpoint Security 和卡巴斯基托管检测与响应的集成,则不会应用按进程排除。
EDR (KATA) 还可以使用从以下任务接收的数据:
- 文件威胁防护。
- 网络威胁防护。
- Web 威胁防护。
保护连接
在与 EDR (KATA) 集成期间,具有 Kaspersky Endpoint Security 的设备会通过 HTTPS 协议与 KATA 服务器建立安全连接。为确保安全连接,使用 KATA 服务器颁发的以下证书:
- KATA 服务器证书。使用服务器的 TLS 证书对连接进行加密。您可以通过在 Kaspersky Endpoint Security 端验证服务器证书来提高连接的安全性。为此,请在运行 Kaspersky Endpoint Detection and Response (KATA) 集成任务之前添加 Integration Server 证书。
- 客户端证书。此证书用于使用双向身份验证对连接进行额外保护(使用 Kaspersky Endpoint Security KATA 服务器扫描设备)。多个设备可以使用同一客户端证书。默认情况下,KATA 服务器不检查客户端证书,但可以在 Kaspersky Anti Targeted Attack Platform 端启用双向身份验证。在这种情况下,您需要在 Kaspersky Endpoint Detection and Response (KATA) 集成任务设置中启用双向身份验证并添加客户端证书(带证书和私钥的加密容器)。
用于保护与 KATA 服务器的连接的证书由 Kaspersky Anti Targeted Attack Platform 管理员提供。
如果在 Kaspersky Endpoint Security 的常规应用程序设置中配置了使用代理服务器,则使用代理服务器连接到 KATA 服务器。
记录事件
如果 Kaspersky Endpoint Security 与 Kaspersky Anti Targeted Attack Platform 集成,可以将大量事件写入 systemd 日志。如果要禁用将审计事件记录到 systemd 日志,请禁用 systemd-journald-audit 套接字并重新启动操作系统。
要禁用 systemd-journald-audit 套接字,请运行以下命令:
systemctl stop systemd-journald-audit.socket
systemctl disable systemd-journald-audit.socket
systemctl mask systemd-journald-audit.socket