Integrace aplikace EDR Agent s KATA (EDR)

Aplikace EDR Agent se instaluje na pracovních stanicích a serverech v IT infrastruktuře organizace. Na těchto počítačích EDR Agent nepřetržitě monitoruje procesy, otevřená síťová připojení a upravované soubory a odesílá údaje z monitorování na server se součástí Central Node.

Chcete-li provést integraci s EDR (KATA), musíte povolit součást Endpoint Detection and Response (KATA) a nakonfigurovat agenta EDR Agent.

Aby součást Endpoint Detection and Response (KATA) fungovala, musí být splněny tyto podmínky:

Kaspersky Anti Targeted Attack Platform verze 5.0 nebo novější.
Kaspersky Security Center verze 14.2 nebo novější. Ve starších verzích aplikace Kaspersky Security Center není možné funkci Endpoint Detection and Response (KATA) aktivovat.

Integrace s řešením Endpoint Detection and Response (KATA) sestává z následujících kroků:

Aktivace součásti Endpoint Detection and Response (KATA)
Musíte si koupit samostatnou licenci pro EDR (KATA) (doplněk součásti Kaspersky Endpoint Detection and Response (KATA)).

Funkce bude k dispozici poté, co pro Kaspersky Endpoint Detection and Response (KATA) zadáte samostatný klíč. Fungování licence k samostatné funkci Endpoint Detection and Response (KATA) je stejné jako fungování licence k aplikaci Kaspersky Endpoint Security.

Ověřte, zda je funkce EDR (KATA) součástí licence a je spuštěna v místním rozhraní aplikace.
Připojení k součásti Central Node
Součást Kaspersky Anti Targeted Attack Platform vyžaduje vytvoření důvěryhodného spojení mezi aplikací Kaspersky Endpoint Security a součástí Central Node. Chcete-li nakonfigurovat důvěryhodné připojení, musíte použít certifikát TLS. Certifikát TLS můžete získat v konzole součásti Kaspersky Anti Targeted Attack Platform (viz pokyny v nápovědě k součásti Kaspersky Anti Targeted Attack Platform). Poté musíte přidat certifikát TLS do aplikace Kaspersky Endpoint Security (viz pokyny níže).

Přidání certifikátu TLS do aplikace Kaspersky Endpoint Security

Ve výchozím nastavení Kaspersky Endpoint Security kontroluje pouze certifikát TLS součásti Central Node. Aby bylo připojení bezpečnější, můžete navíc povolit ověření počítače na součásti Central Node (ověřování na obou stranách). Chcete-li povolit toto ověření, musíte zapnout ověřování na obou stranách v nastavení součásti Central Node a aplikace Kaspersky Endpoint Security. Chcete-li používat ověřování na obou stranách, budete také potřebovat kryptokontejner. Kryptokontejner je PFX archiv s certifikátem a soukromým klíčem. Kryptokontejner můžete získat v konzole součásti Kaspersky Anti Targeted Attack Platform (viz pokyny v nápovědě k součásti Kaspersky Anti Targeted Attack Platform).

Jak připojit počítač Kaspersky Endpoint Security k součásti Central Node pomocí konzoly pro správu (MMC)
1. V hlavním okně webové konzoly vyberte kartu Assets (Devices) → Policies & profiles.
2. Klikněte na název zásad aplikace Kaspersky Endpoint Security.
  Otevře se okno vlastností zásad.
3. Vyberte kartu Application settings.
4. Přejděte do části Detection and Response a vyberte součást, kterou chcete konfigurovat: Endpoint Detection and Response Expert (on-premise) nebo Network Detection and Response (KATA).
5. Zaškrtněte příslušné zaškrtávací políčko: Endpoint Detection and Response Expert (on-premise) nebo Network Detection and Response (KATA).
6. Klikněte na tlačítko Connection settings.
7. Nakonfigurujte připojení k serveru:
  - Timeout (sec). Maximální časový limit odpovědi serveru Central Node. Když časový limit vyprší, Kaspersky Endpoint Security se pokusí připojit k jinému serveru Central Node.
  - Server certificate. Certifikát TLS pro navázání důvěryhodného spojení se serverem Central Node. Certifikát TLS můžete získat v konzole součásti Kaspersky Anti Targeted Attack Platform (viz pokyny v nápovědě k součásti Kaspersky Anti Targeted Attack Platform).
  - Use two-way authentication. Ověření na obou stranách při navazování zabezpečeného připojení mezi aplikací Kaspersky Endpoint Security a serverem Central Node. Chcete-li používat ověřování na obou stranách, musíte je povolit v nastavení serveru Central Node, poté si pořídit kryptokontejner a nastavit heslo pro jeho ochranu. Kryptokontejner je PFX archiv s certifikátem a soukromým klíčem. Kryptokontejner můžete získat v konzole součásti Kaspersky Anti Targeted Attack Platform (viz pokyny v nápovědě k součásti Kaspersky Anti Targeted Attack Platform). Po konfiguraci nastavení součásti Central Node musíte také povolit obousměrné ověřování v nastavení aplikace Kaspersky Endpoint Security a načíst šifrovací kontejner chráněný heslem.
    Kryptokontejner musí být chráněn heslem. Není možné přidat kryptokontejner s prázdným heslem.
8. Klikněte na tlačítko OK.
9. Přidejte servery součásti Central Node. Chcete-li to provést, zadejte adresu serveru (IPv4, IPv6) a port pro připojení k serveru.
  Můžete přidat více adres serveru součásti Central Node pro EDR (KATA). Kaspersky Endpoint Security se pokusí o připojení k serveru na první IP adrese. Pokud připojení nelze navázat, aplikace Kaspersky Endpoint Security se pokusí připojit k druhé IP adrese v seznamu a tak dále.
10. V případě potřeby nakonfigurujte telemetrii.
11. Uložte změny. Chcete-li zásady použít v počítačích, zavřete zámky .
Jak připojit počítač Kaspersky Endpoint Security k součásti Central Node pomocí webové konzoly
1. V hlavním okně webové konzoly vyberte kartu Assets (Devices) → Policies & profiles.
2. Klikněte na název zásad aplikace Kaspersky Endpoint Security.
  Otevře se okno vlastností zásad.
3. Vyberte kartu Application settings.
4. Přejděte do části Built-in Agents Configuration a vyberte součást, kterou chcete konfigurovat: Endpoint Detection and Response Expert (on-premise) nebo Network Detection and Response (KATA).
5. Zapněte příslušný přepínač: Endpoint Detection and Response Expert (on-premise) ENABLED nebo Network Detection and Response (KATA) ENABLED.
6. Chcete-li nakonfigurovat EDR (KATA), ze seznamu řešení vyberte možnost Endpoint Detection and Response (KATA).
7. Klikněte na tlačítko Connection settings.
8. Nakonfigurujte připojení k serveru:
  - Timeout (sec). Maximální časový limit odpovědi serveru Central Node. Když časový limit vyprší, Kaspersky Endpoint Security se pokusí připojit k jinému serveru Central Node.
  - Server certificate. Certifikát TLS pro navázání důvěryhodného spojení se serverem Central Node. Certifikát TLS můžete získat v konzole součásti Kaspersky Anti Targeted Attack Platform (viz pokyny v nápovědě k součásti Kaspersky Anti Targeted Attack Platform).
  - Use two-way authentication. Ověření na obou stranách při navazování zabezpečeného připojení mezi aplikací Kaspersky Endpoint Security a serverem Central Node. Chcete-li používat ověřování na obou stranách, musíte je povolit v nastavení serveru Central Node, poté si pořídit kryptokontejner a nastavit heslo pro jeho ochranu. Kryptokontejner je PFX archiv s certifikátem a soukromým klíčem. Kryptokontejner můžete získat v konzole součásti Kaspersky Anti Targeted Attack Platform (viz pokyny v nápovědě k součásti Kaspersky Anti Targeted Attack Platform). Po konfiguraci nastavení součásti Central Node musíte také povolit obousměrné ověřování v nastavení aplikace Kaspersky Endpoint Security a načíst šifrovací kontejner chráněný heslem.
    Kryptokontejner musí být chráněn heslem. Není možné přidat kryptokontejner s prázdným heslem.
9. Klikněte na tlačítko OK.
10. Přidejte servery součásti Central Node. Chcete-li to provést, zadejte adresu serveru (IPv4, IPv6) a port pro připojení k serveru.
  Můžete přidat více adres serveru součásti Central Node pro EDR (KATA). Kaspersky Endpoint Security se pokusí o připojení k serveru na první IP adrese. Pokud připojení nelze navázat, aplikace Kaspersky Endpoint Security se pokusí připojit k druhé IP adrese v seznamu a tak dále.
11. V případě potřeby nakonfigurujte telemetrii.
12. Uložte změny. Chcete-li zásady použít v počítačích, zavřete zámky .
Počítač je tak přidán do konzoly součásti Kaspersky Anti Targeted Attack Platform. Provozní stav součásti zkontrolujete zobrazením Report on status of application components. Provozní stav součásti můžete také zobrazit ve zprávách v místním rozhraní aplikace Kaspersky Endpoint Security. Součást Endpoint Detection and Response Expert (on-premise) bude přidána do seznamu součástí aplikace Kaspersky Endpoint Security.

Začátek stránky