Integrando o EDR Agent com KATA (EDR)

O EDR Agent é instalado nas estações de trabalho e servidores na infraestrutura de TI da organização. Nesses computadores, o EDR Agent monitora continuamente os processos, as conexões de rede abertas e os arquivos em modificação, e envia os dados de monitoramento para o servidor EDR Expert (on-premise).

Para se integrar com o EDR Expert (on-premise), é necessário ativar o componente Endpoint Detection and Response Expert (on-premise) e configurar o EDR Agent.

A integração com o Endpoint Detection and Response Expert (on-premise) compreende as seguintes etapas:

Ativação do Kaspersky Endpoint Detection and Response Expert (on-premise)
É preciso comprar uma licença separada para o EDR Expert (on-premise) (add-on do Kaspersky Endpoint Detection and Response Expert (on-premise)).

A funcionalidade estará disponível após a adição de uma chave separada para o Kaspersky Endpoint Detection and Response Expert (on-premise). A licença para a funcionalidade independente Endpoint Detection and Response Expert (on-premise) é a mesma que a licença do Kaspersky Endpoint Security.

Verifique e confirme se a funcionalidade EDR Expert (on-premise) está incluída na licença e se está sendo executada na interface local do aplicativo.
Conexão com servidor de coleta de telemetria e servidor de reposta
O Kaspersky Endpoint Detection and Response Expert (on-premise) requer uma conexão confiável entre o Kaspersky Endpoint Security e dois servidores:
- Um servidor de coleta de telemetria é um servidor que faz parte de uma solução SIEM que coleta, normaliza, correlaciona, analisa e armazena informações sobre eventos que ocorrem no computador.
- Um servidor de resposta é um dispositivo que recebe e verifica dados, estuda o comportamento de objetos e publica os resultados desses estudos.
Para configurar uma conexão confiável, é necessário usar um certificado TLS. É possível obter um certificado TLS na Open Single Management Platform (consulte as instruções na ajuda do Kaspersky Endpoint Detection and Response Expert (on-premise)). Em seguida, é necessário adicionar o certificado TLS ao Kaspersky Endpoint Security (consulte as instruções abaixo).

Por padrão, o Kaspersky Endpoint Security verifica apenas o certificado TLS dos servidores. Para tornar a conexão mais segura, também é possível ativar a verificação do computador no servidor (autenticação bidirecional). Para ativar essa verificação, é necessário ativar a autenticação bidirecional nas configurações do servidor e do Kaspersky Endpoint Security. Para usar a autenticação bidirecional, também será necessário um contêiner criptográfico. Um contêiner criptográfico é um arquivo PFX com um certificado e uma chave privada. É possível obter um contêiner de criptografia na Open Single Management Platform (consulte as instruções na ajuda do Kaspersky Endpoint Detection and Response Expert (on-premise)).

Como conectar um computador Kaspersky Endpoint Security ao EDR Expert (on-premise) com o uso do Web Console
1. Na janela principal do Web Console, selecione a guia Ativos (dispositivos) → Políticas e perfis.
2. Clique no nome da política do Kaspersky Endpoint Security.
  A janela de propriedades da política é exibida.
3. Selecione a guia Configurações do aplicativo.
4. Selecione Configuração de agentes integrados → Endpoint Detection and Response Expert (on-premise).
5. Ative o botão de alternância Endpoint Detection and Response Expert (on-premise) ATIVADO.
6. Para configurar o EDR Expert (on-premise), selecione Endpoint Detection and Response Expert (versão 8.0 ou posterior) pela lista de soluções.
7. Configure a conexão dos servidores de coleta de telemetria:
  1. No bloco Conexão com servidores de coleta de telemetria, clique no link Configurações de conexão.
  2. Configure a conexão dos servidores de coleta de telemetria:
    - Tempo limite (s). Tempo limite máximo de resposta do servidor. Quando o tempo limite se esgotar, o Kaspersky Endpoint Security tentará estabelecer conexão com um servidor diferente.
    - Certificado do servidor. Certificado TLS para estabelecer uma conexão confiável com o servidor. É possível obter um certificado TLS na Open Single Management Platform (consulte as instruções na ajuda do Kaspersky Endpoint Detection and Response Expert (on-premise)).
    - Usar autenticação bidirecional. Autenticação bidirecional ao estabelecer uma conexão segura entre o Kaspersky Endpoint Security e o servidor. Para usar a autenticação bidirecional, é necessário ativá-la nas configurações do servidor, obter um contêiner de criptografia e definir uma senha para protegê-lo. Um contêiner criptográfico é um arquivo PFX com um certificado e uma chave privada. É possível obter um contêiner de criptografia na Open Single Management Platform (consulte as instruções na ajuda do Kaspersky Endpoint Detection and Response Expert (on-premise)). Depois de definir as configurações do servidor, é necessário também ativar a autenticação bidirecional nas configurações do Kaspersky Endpoint Security e carregar um contêiner de criptografia protegido por senha.
      O contêiner criptográfico deve ser protegido por senha. Não é possível adicionar um contêiner criptográfico sem senha.
  3. Clique OK.
  4. Adicione servidores de coleta de telemetria. Para fazer isso, especifique o endereço do servidor (IPv4, IPv6) e a porta para se conectar ao servidor.
    É possível adicionar vários endereços de servidores de coleta de telemetria. O Kaspersky Endpoint Security tenta se conectar ao servidor no primeiro endereço IP. Caso a conexão não possa ser estabelecida, o Kaspersky Endpoint Security tenta se conectar ao segundo endereço IP na lista e assim sucessivamente.
  5. Caso necessário, configure a telemetria.
8. Configure a conexão dos servidores de reposta:
  1. No bloco Conexão com servidores de resposta, defina as configurações de Enviar solicitação de sincronização para o servidor a cada (min.). Frequência de solicitações de sincronização enviadas ao servidor. Durante a sincronização, o Kaspersky Endpoint Security receberá tarefas de resposta a ameaças e enviará os resultados da tarefa.
  2. Clique no link Configurações de conexão.
  3. Configure a conexão dos servidores de reposta:
    - Tempo limite (s). Tempo limite máximo de resposta do servidor. Quando o tempo limite se esgotar, o Kaspersky Endpoint Security tentará estabelecer conexão com um servidor diferente.
    - Certificado do servidor. Certificado TLS para estabelecer uma conexão confiável com o servidor. É possível obter um certificado TLS na Open Single Management Platform (consulte as instruções na ajuda do Kaspersky Endpoint Detection and Response Expert (on-premise)).
    - Usar autenticação bidirecional. Autenticação bidirecional ao estabelecer uma conexão segura entre o Kaspersky Endpoint Security e o servidor. Para usar a autenticação bidirecional, é necessário ativá-la nas configurações do servidor, obter um contêiner de criptografia e definir uma senha para protegê-lo. Um contêiner criptográfico é um arquivo PFX com um certificado e uma chave privada. É possível obter um contêiner de criptografia na Open Single Management Platform (consulte as instruções na ajuda do Kaspersky Endpoint Detection and Response Expert (on-premise)). Depois de definir as configurações do servidor, é necessário também ativar a autenticação bidirecional nas configurações do Kaspersky Endpoint Security e carregar um contêiner de criptografia protegido por senha.
      O contêiner criptográfico deve ser protegido por senha. Não é possível adicionar um contêiner criptográfico sem senha.
  4. Clique OK.
  5. Adicione os servidores de reposta. Para fazer isso, especifique o endereço do servidor (IPv4, IPv6) e a porta para se conectar ao servidor.
    É possível adicionar vários endereços do servidor de resposta. O Kaspersky Endpoint Security tenta se conectar ao servidor no primeiro endereço IP. Caso a conexão não possa ser estabelecida, o Kaspersky Endpoint Security tenta se conectar ao segundo endereço IP na lista e assim sucessivamente.
9. Salvar alterações. Para aplicar a política em computadores, feche os cadeados .
Como resultado, o computador será adicionado na Open Single Management Platform (OSMP). Verifique o status operacional do componente visualizando o Relatório de status dos componentes do aplicativo. Também é possível visualizar o status operacional de um componente em relatórios na interface local do Kaspersky Endpoint Security. O componente do Endpoint Detection and Response Expert (on-premise) será adicionado na lista de componentes do Kaspersky Endpoint Security.

Início da página