Integração do agente integrado com EDR / NDR (KATA)

Para a integração com EDR/NDR (KATA), é necessário adicionar o componente pertinente: Endpoint Detection and Response (KATA) ou Network Detection and Response (KATA). É possível selecionar os componentes para integração com EDR/NDR (KATA) durante a instalação ou atualização do aplicativo, assim como usar a tarefa Alterar componentes do aplicativo.

Iniciando com a versão 12.11 do Kaspersky Endpoint Security for Windows, o componente EDR (KATA) foi renomeado para Endpoint Detection and Response Expert (on-premise). Nesta versão do aplicativo, o componente torna-se universal. Isso significa que o agente integrado lida com a comunicação não apenas com a Kaspersky Anti Targeted Attack Platform, mas também com outras soluções de Detection and Response da Kaspersky.

A integração do Kaspersky Endpoint Security com a solução Kaspersky Endpoint Detection and Response Expert (on-premise) estará disponível em breve. Kaspersky Endpoint Detection and Response Expert (on-premise) é uma solução de segurança virtual empresarial que inclui aplicativos da Kaspersky que viabilizam para uma organização a defesa contra a maioria dos tipos de riscos virtuais, além de englobar os cenários mais importantes de propagação de ameaças. Os componentes EDR Expert (on-premise) são implementados na Open Single Management Platform (OSMP). O suporte para essa funcionalidade está planejado para ser encerrado no final de 2025. Acompanhe nossas notas de lançamento para ficar por dentro das atualizações do aplicativo e dos novos recursos.

Os componentes EDR Optimum, EDR Expert e EDR (KATA) não são compatíveis entre si.

Para usar a EDR / NDR (KATA), as seguintes condições devem ser atendidas:

EDR (KATA): Kaspersky Anti Targeted Attack Platform versão 5.0 ou posterior.
NDR (KATA): Kaspersky Anti Targeted Attack Platform versão 7.0 ou posterior.
EDR (KATA): Kaspersky Endpoint Security for Windows 12.1 ou posterior. Para obter mais detalhes sobre a compatibilidade do KATA com diferentes versões do Kaspersky Endpoint Security, consulte a Ajuda da Kaspersky Anti Targeted Attack Platform.
NDR (KATA): Kaspersky Endpoint Security for Windows 12.7 ou posterior.
Kaspersky Security Center versão 14.2 ou posterior. Em versões anteriores do Kaspersky Security Center, é impossível ativar a funcionalidade EDR/NDR (KATA).
O aplicativo é ativado e a funcionalidade é contemplada pela licença.
Os componentes Endpoint Detection and Response (KATA) e Network Detection and Response (KATA) estão ativados.
Os componentes do aplicativo que garantem a operação do EDR/NDR (KATA) estão ativados e operacionais. Os seguintes componentes garantem a operação do EDR/NDR (KATA):

A integração com o Endpoint Detection and Response (KATA) compreende as seguintes etapas:

Instalação dos componentes Endpoint Detection and Response (KATA) e Network Detection and Response (KATA)
É possível selecionar os componentes EDR (KATA) e NDR (KATA) durante a instalação ou atualização, assim como usar a tarefa Alterar componentes do aplicativo.

É preciso reiniciar o computador para concluir a atualização do aplicativo com os novos componentes.
Ativação do Endpoint Detection and Response (KATA) a Network Detection and Response (KATA)
É preciso adquirir uma licença separada para o EDR (KATA) e o NDR (KATA) (por exemplo, add-on do Kaspersky Endpoint Detection and Response (KATA)).

A funcionalidade fica disponível depois da adição de uma chave separada que abrange as funcionalidades EDR (KATA) e NDR (KATA). Assim, diversas chaves são adicionadas no computador: uma chave para o Kaspersky Endpoint Security e chaves para o Kaspersky Endpoint Detection and Response (KATA) e o Network Detection and Response (KATA).

A licença para as funcionalidades independentes EDR (KATA) e NDR (KATA) é a mesma que a licença do Kaspersky Endpoint Security.

Verifique e confirme se as funcionalidades EDR (KATA) e NDR (KATA) estão incluídas na licença e se estão sendo executadas na interface local do aplicativo.
Conexão com o Central Node
A Kaspersky Anti Targeted Attack Platform requer o estabelecimento de uma conexão confiável entre o Kaspersky Endpoint Security e o componente Central Node. Para configurar uma conexão confiável, é necessário usar um certificado TLS. É possível obter um certificado TLS no console da Kaspersky Anti Targeted Attack Platform (consulte as instruções na ajuda da Kaspersky Anti Targeted Attack Platform). Em seguida, é necessário adicionar o certificado TLS ao Kaspersky Endpoint Security (consulte as instruções abaixo).

Adição de um certificado TLS ao Kaspersky Endpoint Security

Por padrão, o Kaspersky Endpoint Security verifica apenas o certificado TLS do Central Node. Para tornar a conexão mais segura, também é possível ativar a verificação do computador no Central Node (autenticação bidirecional). Para ativar essa verificação, é necessário ativar a autenticação bidirecional nas configurações do Central Node e do Kaspersky Endpoint Security. Para usar a autenticação bidirecional, também será necessário um contêiner criptográfico. Um contêiner criptográfico é um arquivo PFX com um certificado e uma chave privada. É possível obter um contêiner criptográfico no console da Kaspersky Anti Targeted Attack Platform (consulte as instruções na ajuda da Kaspersky Anti Targeted Attack Platform).

Como conectar um computador Kaspersky Endpoint Security ao Central Node com o uso do Console de Administração (MMC)
1. Na janela principal do Web Console, selecione a guia Ativos (dispositivos) → Políticas e perfis.
2. Clique no nome da política do Kaspersky Endpoint Security.
  A janela de propriedades da política é exibida.
3. Selecione a guia Configurações do aplicativo.
4. Vá para a seção Detection and Response e selecione o componente que deseja configurar: Endpoint Detection and Response Expert (on-premise) ou Network Detection and Response (KATA).
5. Marque a caixa de seleção correspondente: Endpoint Detection and Response Expert (on-premise) ou Network Detection and Response (KATA).
6. Clique Configurações de conexão.
7. Configure a conexão do servidor:
  - Tempo limite (s). Tempo limite máximo de resposta do servidor do Central Node. Quando o tempo limite se esgota, o Kaspersky Endpoint Security tenta estabelecer conexão com um servidor de Central Node diferente.
  - Certificado do servidor. Certificado TLS para estabelecer uma conexão confiável com o servidor do Central Node. É possível obter um certificado TLS no console da Kaspersky Anti Targeted Attack Platform (consulte as instruções na ajuda da Kaspersky Anti Targeted Attack Platform).
  - Usar autenticação bidirecional. Autenticação bidirecional ao estabelecer uma conexão segura entre o Kaspersky Endpoint Security e o servidor do Central Node. Para usar a autenticação bidirecional, é necessário ativá-la nas configurações do servidor do Central Node, obter um contêiner de criptografia e definir uma senha para proteger o contêiner criptográfico. Um contêiner criptográfico é um arquivo PFX com um certificado e uma chave privada. É possível obter um contêiner criptográfico no console da Kaspersky Anti Targeted Attack Platform (consulte as instruções na ajuda da Kaspersky Anti Targeted Attack Platform). Depois de definir as configurações do Central Node, é necessário também habilitar a autenticação bidirecional nas configurações do Kaspersky Endpoint Security e carregar um contêiner criptográfico protegido por senha.
    O contêiner criptográfico deve ser protegido por senha. Não é possível adicionar um contêiner criptográfico sem senha.
8. Clique OK.
9. Adicionar servidores de Central Node. Para fazer isso, especifique o endereço do servidor (IPv4, IPv6) e a porta para se conectar ao servidor.
  É possível adicionar vários endereços de servidor do nó central para EDR (KATA). O Kaspersky Endpoint Security tenta se conectar ao servidor no primeiro endereço IP. Caso a conexão não possa ser estabelecida, o Kaspersky Endpoint Security tenta se conectar ao segundo endereço IP na lista e assim sucessivamente.
10. Caso necessário, configure a telemetria.
11. Salvar alterações. Para aplicar a política em computadores, feche os cadeados .
Como conectar um computador Kaspersky Endpoint Security ao Central Node usando o Web Console
1. Na janela principal do Web Console, selecione a guia Ativos (dispositivos) → Políticas e perfis.
2. Clique no nome da política do Kaspersky Endpoint Security.
  A janela de propriedades da política é exibida.
3. Selecione a guia Configurações do aplicativo.
4. Vá para a seção Configuração de agentes integrados e selecione o componente que deseja configurar: Endpoint Detection and Response Expert (on-premise) ou Network Detection and Response (KATA).
5. Ative o botão de alternância correspondente: Endpoint Detection and Response Expert (on-premise) ATIVADO ou Network Detection and Response (KATA) ATIVADO.
6. Para configurar o EDR (KATA), selecione Endpoint Detection and Response (KATA) pela lista de soluções.
7. Clique Configurações de conexão.
8. Configure a conexão do servidor:
  - Tempo limite (s). Tempo limite máximo de resposta do servidor do Central Node. Quando o tempo limite se esgota, o Kaspersky Endpoint Security tenta estabelecer conexão com um servidor de Central Node diferente.
  - Certificado do servidor. Certificado TLS para estabelecer uma conexão confiável com o servidor do Central Node. É possível obter um certificado TLS no console da Kaspersky Anti Targeted Attack Platform (consulte as instruções na ajuda da Kaspersky Anti Targeted Attack Platform).
  - Usar autenticação bidirecional. Autenticação bidirecional ao estabelecer uma conexão segura entre o Kaspersky Endpoint Security e o servidor do Central Node. Para usar a autenticação bidirecional, é necessário ativá-la nas configurações do servidor do Central Node, obter um contêiner de criptografia e definir uma senha para proteger o contêiner criptográfico. Um contêiner criptográfico é um arquivo PFX com um certificado e uma chave privada. É possível obter um contêiner criptográfico no console da Kaspersky Anti Targeted Attack Platform (consulte as instruções na ajuda da Kaspersky Anti Targeted Attack Platform). Depois de definir as configurações do Central Node, é necessário também habilitar a autenticação bidirecional nas configurações do Kaspersky Endpoint Security e carregar um contêiner criptográfico protegido por senha.
    O contêiner criptográfico deve ser protegido por senha. Não é possível adicionar um contêiner criptográfico sem senha.
9. Clique OK.
10. Adicionar servidores de Central Node. Para fazer isso, especifique o endereço do servidor (IPv4, IPv6) e a porta para se conectar ao servidor.
  É possível adicionar vários endereços de servidor do nó central para EDR (KATA). O Kaspersky Endpoint Security tenta se conectar ao servidor no primeiro endereço IP. Caso a conexão não possa ser estabelecida, o Kaspersky Endpoint Security tenta se conectar ao segundo endereço IP na lista e assim sucessivamente.
11. Caso necessário, configure a telemetria.
12. Salvar alterações. Para aplicar a política em computadores, feche os cadeados .
Também é possível adicionar um certificado TLS localmente usando a linha de comando.

Como resultado, o computador é adicionado ao console da Kaspersky Anti Targeted Attack Platform. Verifique o status operacional dos componentes visualizando o Relatório de status dos componentes do aplicativo. Também é possível visualizar o status operacional de componentes em relatórios na interface local do Kaspersky Endpoint Security. Os componentes Endpoint Detection and Response Expert (on-premise) e Network Detection and Response (KATA) serão adicionados à lista de componentes do Kaspersky Endpoint Security.

É possível verificar o status dos componentes no console do Kaspersky Security Center nas propriedades do computador na seção Componentes. Considere o seguinte aspecto ao verificar o status do componente no console. Caso o componente não esteja instalado e a funcionalidade não seja abrangida por sua licença, o console exibirá o status Incompatível com a licença em vez de Não instalado.

A partir do Kaspersky Endpoint Security 12.6 for Windows, é possível monitorar o status do componente EDR (KATA) no Console de Administração do Kaspersky Security Center (MMC). O status atual do componente é exibido nas propriedades do computador, na coluna Status do Endpoint Sensor (Executando, Iniciando, Parado, Pausado, Falhou, Desconhecido). O Web Console não exibe o status do Endpoint Sensor.

Início da página