Integrar EDR Agent con KATA (EDR)

EDR Agent se instala en estaciones de trabajo y servidores en la infraestructura de TI de la organización. En estos equipos, EDR Agent supervisa de forma continua procesos, conexiones de red abiertas y archivos que se modifican, y envía datos de monitoreo al servidor de EDR Expert (on-premise).

Para la integración con EDR Expert (on-premise), debe habilitar el componente Endpoint Detection and Response Expert (on-premise) y configurar EDR Agent.

El proceso de integración con Endpoint Detection and Response Expert (on-premise) incluye los siguientes pasos:

Activación de Kaspersky Endpoint Detection and Response Expert (on-premise)
Tiene que comprar una licencia por separado para EDR Expert (on-premise) (complemento de Kaspersky Endpoint Detection and Response Expert [on-premise]).

La funcionalidad está disponible después de agregar una clave diferente para Kaspersky Endpoint Detection and Response Expert (on-premise). La licencia para la funcionalidad independiente de Endpoint Detection and Response Expert (on-premise) es la misma que la de Kaspersky Endpoint Security.

Asegúrese de que la funcionalidad de EDR Expert (on-premise) esté incluida en la licencia y de que se ejecute en la interfaz local de la aplicación.
Conexión a servidores de recopilación de telemetría y al servidor de respuesta
Kaspersky Endpoint Detection and Response Expert (on-premise) exige una conexión de confianza entre Kaspersky Endpoint Security y dos servidores:
- Un servidor de recopilación de telemetría es un servidor que forma parte de una solución SIEM y que recopila, normaliza, correlaciona, analiza y almacena información sobre los eventos que ocurren en el equipo.
- Un servidor de respuesta es un servidor que recibe y analiza datos, estudia el comportamiento de los objetos y publica los resultados de dichos estudios.
Para configurar una conexión de confianza, debe utilizar un certificado TLS. Puede obtener un certificado TLS en Open Single Management Platform (consulte las instrucciones en la Ayuda de Kaspersky Endpoint Detection and Response Expert [on-premise]). Luego, debe agregar el certificado TLS a Kaspersky Endpoint Security (consulte las instrucciones a continuación).

De manera predeterminada, Kaspersky Endpoint Security solo verifica el certificado TLS de los servidores. Para que la conexión sea más segura, también puede habilitar la verificación del equipo en el servidor (autenticación bidireccional). Para habilitar esta verificación, debe activar la autenticación bidireccional en la configuración del servidor y de Kaspersky Endpoint Security. Para usar autenticación bidireccional, también necesitará un contenedor criptográfico. Un contenedor criptográfico es un archivo de almacenamiento PFX con un certificado y una clave privada. Puede obtener un criptocontenedor en Open Single Management Platform (consulte las instrucciones en la Ayuda de Kaspersky Endpoint Detection and Response Expert [on-premise]).

Cómo conectar un equipo con Kaspersky Endpoint Security a EDR Expert (on-premise) mediante Web Console
1. En la ventana principal de Web Console, seleccione la pestaña Activos (dispositivos) → Directivas y perfiles.
2. Haga clic en el nombre de la directiva de Kaspersky Endpoint Security.
  Se abre la ventana de propiedades de la directiva.
3. Seleccione la ficha Configuración de la aplicación.
4. Vaya a Configuración de agentes integrados → Endpoint Detection and Response Expert (on-premise).
5. Active el interruptor de Endpoint Detection and Response Expert (on-premise) HABILITADO.
6. Para configurar EDR Expert (on-premise), seleccione Endpoint Detection and Response Expert (versión 8.0 o posterior) en la lista de soluciones.
7. Configure la conexión de los servidores de colección de telemetría:
  1. En el bloque Conexión a servidores de recopilación de telemetría, haga clic en el vínculo Configuración de conexión.
  2. Configure la conexión de los servidores de colección de telemetría:
    - Tiempo de espera (s). Tiempo de espera máximo de respuesta del servidor. Cuando se agota el tiempo de espera, Kaspersky Endpoint Security intenta conectarse a otro servidor.
    - Certificado del servidor. Certificado TLS para establecer una conexión de confianza con el servidor. Puede obtener un certificado TLS en Open Single Management Platform (consulte las instrucciones en la Ayuda de Kaspersky Endpoint Detection and Response Expert [on-premise]).
    - Usar autenticación bidireccional. Autenticación bidireccional al establecer una conexión segura entre Kaspersky Endpoint Security y el servidor. Para usar la autenticación bidireccional, debe habilitarla en la configuración del servidor y, a continuación, obtener un criptocontenedor y establecer una contraseña para protegerlo. Un contenedor criptográfico es un archivo de almacenamiento PFX con un certificado y una clave privada. Puede obtener un criptocontenedor en Open Single Management Platform (consulte las instrucciones en la Ayuda de Kaspersky Endpoint Detection and Response Expert [on-premise]). Después de configurar el servidor, también debe habilitar la autenticación bidireccional en la configuración de Kaspersky Endpoint Security y cargar un criptocontenedor protegido con contraseña.
      El contenedor criptográfico debe tener protección con contraseña. No es posible agregar un contenedor criptográfico con una contraseña en blanco.
  3. Haga clic en Aceptar.
  4. Agregue servidores de colección de telemetría. Para hacerlo, especifique la dirección del servidor (IPv4, IPv6) y el puerto para conectarse al servidor.
    Puede agregar varias direcciones de servidores de colección de telemetría. Kaspersky Endpoint Security intenta conectarse al servidor en la primera dirección IP. Si no se pude establecer una conexión, Kaspersky Endpoint Security intenta conectarse a la segunda dirección IP de la lista y así sucesivamente.
  5. Si es necesario, configure la telemetría.
8. Configure la conexión de los servidores de respuesta:
  1. En el bloque Conexión a servidores de respuesta, establezca la configuración de Enviar solicitud de sincronización al servidor cada (min). Frecuencia de las solicitudes de sincronización enviadas al servidor. Durante la sincronización, Kaspersky Endpoint Security recibe tareas de respuesta a amenazas y envía los resultados de la tarea.
  2. Haga clic en el vínculo Configuración de conexión.
  3. Configure la conexión de los servidores de respuesta:
    - Tiempo de espera (s). Tiempo de espera máximo de respuesta del servidor. Cuando se agota el tiempo de espera, Kaspersky Endpoint Security intenta conectarse a otro servidor.
    - Certificado del servidor. Certificado TLS para establecer una conexión de confianza con el servidor. Puede obtener un certificado TLS en Open Single Management Platform (consulte las instrucciones en la Ayuda de Kaspersky Endpoint Detection and Response Expert [on-premise]).
    - Usar autenticación bidireccional. Autenticación bidireccional al establecer una conexión segura entre Kaspersky Endpoint Security y el servidor. Para usar la autenticación bidireccional, debe habilitarla en la configuración del servidor y, a continuación, obtener un criptocontenedor y establecer una contraseña para protegerlo. Un contenedor criptográfico es un archivo de almacenamiento PFX con un certificado y una clave privada. Puede obtener un criptocontenedor en Open Single Management Platform (consulte las instrucciones en la Ayuda de Kaspersky Endpoint Detection and Response Expert [on-premise]). Después de configurar el servidor, también debe habilitar la autenticación bidireccional en la configuración de Kaspersky Endpoint Security y cargar un criptocontenedor protegido con contraseña.
      El contenedor criptográfico debe tener protección con contraseña. No es posible agregar un contenedor criptográfico con una contraseña en blanco.
  4. Haga clic en Aceptar.
  5. Agregue los servidores de respuesta. Para hacerlo, especifique la dirección del servidor (IPv4, IPv6) y el puerto para conectarse al servidor.
    Puede agregar varias direcciones de servidores de respuestas. Kaspersky Endpoint Security intenta conectarse al servidor en la primera dirección IP. Si no se pude establecer una conexión, Kaspersky Endpoint Security intenta conectarse a la segunda dirección IP de la lista y así sucesivamente.
9. Guarde los cambios. Para aplicar la directiva en los equipos, cierre los candados .
De esta forma, el equipo se agrega a Open Single Management Platform (OSMP). El estado de funcionamiento del componente aparecerá en el Informe sobre el estado de los componentes de la aplicación. Para conocer el estado de funcionamiento de un componente, también puede consultar los informes disponibles en la interfaz local de Kaspersky Endpoint Security. El componente Endpoint Detection and Response Expert (on-premise) se agregará a la lista de componentes de Kaspersky Endpoint Security.

Inicio de página