Integrarea agentului încorporat cu EDR Expert (on-premise)

Pentru integrarea cu soluția Kaspersky Endpoint Detection and Response Expert (on-premise), trebuie să adaugi componenta Endpoint Detection and Response Expert (on-premise) și să configurezi Kaspersky Endpoint Security.

Componentele EDR Optimum, EDR Expert și EDR Expert (on-premise) nu sunt compatibile între ele.

Trebuie îndeplinite următoarele condiții pentru ca Endpoint Detection and Response Expert (on-premise) să funcționeze:

• OSMP (Open Single Management Platform) este instalat.
• Aplicația este activată și funcționalitatea este acoperită de licență.
• Componenta Endpoint Detection and Response Expert (on-premise) este activată.
• Componentele aplicației care asigură funcționarea EDR Expert (on-premise) sunt activate și operaționale. Următoarele componente asigură funcționarea EDR Expert (on-premise):
  • File Threat Protection.
  • Web Threat Protection.
  • Mail Threat Protection.
  • Exploit Prevention.
  • Behavior Detection.
  • Host Intrusion Prevention.
  • Remediation Engine.
  • Control adaptiv al anomaliilor.

Configurarea integrării EDR Expert (on-premise) implică următorii pași:

1. Instalarea componentei EDR Expert (on-premise)

   Poți selecta componenta EDR Expert (on-premise) în timpul instalării sau efectuării upgrade-ului, precum și utilizând activitatea Modificare componente ale aplicației.

   Trebuie să reporniți computerul pentru a finaliza efectuarea upgrade-ului aplicației cu noua componentă.

2. Activarea Kaspersky Endpoint Detection and Response Expert (on-premise)

   Trebuie să achiziționezi o licență separată pentru EDR Expert (on-premise) (suplimentul Kaspersky Endpoint Detection and Response Expert (on-premise)).

   Funcționalitatea devine disponibilă după adăugarea unei chei separate pentru Kaspersky Endpoint Detection and Response Expert (on-premise). Ca rezultat, sunt adăugate două chei pe computer: o cheie pentru Kaspersky Endpoint Security și o cheie pentru Kaspersky Endpoint Detection and Response Expert (on-premise).

   Licențierea funcționalității individuale Endpoint Detection and Response Expert (on-premise) se realizează la fel ca licențierea componentei Kaspersky Endpoint Security.

   Asigură-te că funcționalitatea componentei EDR Expert (on-premise) este inclusă în licență și că aceasta se execută în interfața locală a aplicației.

3. Conectarea la serverul de colectare a telemetriei și la serverul de răspuns

   Kaspersky Endpoint Detection and Response Expert (on-premise) necesită o conexiune de încredere între Kaspersky Endpoint Security și două servere:

   • Un server de colectare a telemetriei este un server care face parte dintr-o soluție SIEM și care colectează, normalizează, corelează, analizează și stochează informații despre evenimentele care au loc pe computer.
   • Un server de răspuns este un server pentru primirea și scanarea datelor, studierea comportamentului obiectelor și publicarea rezultatelor acestor studii.

   Pentru a configura o conexiune de încredere, trebuie să utilizați un certificat TLS. Poți obține un certificat TLS pe ​​Open Single Management Platform (consultă instrucțiunile din Ajutor pentru Kaspersky Endpoint Detection and Response Expert (on-premise)). Apoi, trebuie să adăugați certificatul TLS la Kaspersky Endpoint Security (consultați instrucțiunile de mai jos).

   În mod implicit, Kaspersky Endpoint Security verifică doar certificatul TLS al serverelor. Pentru a face conexiunea mai sigură, poți activa suplimentar verificarea computerului pe server (autentificare mutuală). Pentru a activa această verificare, trebuie să activezi autentificarea mutuală în setările serverului și ale Kaspersky Endpoint Security. Pentru a utiliza autentificarea mutuală, veți avea nevoie și de un cripto-container. Un cripto-container este o arhivă PFX cu un certificat și o cheie privată. Poți obține un container crypto pe Open Single Management Platform (consultă instrucțiunile din Ajutor pentru Kaspersky Endpoint Detection and Response Expert (on-premise)).

   Cum conectezi un computer Kaspersky Endpoint Security la EDR Expert (on-premise) utilizând Web Console

   1. În fereastra principală a Web Console, selectați fila Assets (Devices) → Policies & profiles.
   2. Faceți clic pe numele politicii Kaspersky Endpoint Security.

      Se deschide fereastra de proprietăți a politicii.

   3. Selectați fila Application settings.
   4. Accesați Built-in Agents Configuration → Endpoint Detection and Response Expert (on-premise).
   5. Duceți comutatorul Endpoint Detection and Response Expert (on-premise) ENABLED la poziția activat.
   6. Pentru a configura EDR Expert (on-premise), selectează Endpoint Detection and Response Expert (version 8.0 or later) din lista de soluții.
   7. Configurează conexiunea la serverele de colectare a telemetriei:
      1. În blocul Connection to telemetry collection servers, faceți clic pe linkul Connection settings.
      2. Configurează conexiunea la serverele de colectare a telemetriei:
         • Timeout (sec). Expirarea timpului maxim de răspuns al serverului. Când timpul de expirare se termină, Kaspersky Endpoint Security încearcă să se conecteze la un alt server.
         • Server certificate. Certificat TLS pentru stabilirea unei conexiuni de încredere cu serverul. Poți obține un certificat TLS pe ​​Open Single Management Platform (consultă instrucțiunile din Ajutor pentru Kaspersky Endpoint Detection and Response Expert (on-premise)).
         • Use two-way authentication. Autentificare mutuală la stabilirea unei conexiuni securizate între Kaspersky Endpoint Security și server. Pentru a utiliza autentificarea mutuală, trebuie să activezi autentificarea mutuală în setările serverului, apoi să obții un container crypto și să setezi o parolă pentru a proteja containerul crypto. Un cripto-container este o arhivă PFX cu un certificat și o cheie privată. Poți obține un container crypto pe Open Single Management Platform (consultă instrucțiunile din Ajutor pentru Kaspersky Endpoint Detection and Response Expert (on-premise)). După configurarea setărilor serverului, trebuie să activezi autentificarea mutuală și în setările Kaspersky Endpoint Security și să încarci un container crypto protejat prin parolă.

           Criptocontainerul trebuie să fie protejat prin parolă. Nu este posibil să adăugați un criptocontainer cu o parolă necompletată.

      3. Fă clic pe OK.
      4. Adaugă servere de colectare a telemetriei. Pentru a face acest lucru, specificați adresa serverului (IPv4, IPv6) și portul de conectare la server.

         Poți adăuga mai multe adrese de server de colectare a datelor de telemetrie. Kaspersky Endpoint Security încearcă să se conecteze la server la prima adresă IP. Dacă nu se poate stabili o conexiune, Kaspersky Endpoint Security încearcă să se conecteze la a doua adresă IP din listă și așa mai departe.

      5. Dacă este necesar, configurează telemetria.
   8. Configurează conexiunea la serverele de răspuns:
      1. În blocul Connection to response servers, configurează setările pentru Send sync request to server every (min). Frecvența solicitărilor de sincronizare trimise către serverul. În timpul sincronizării, Kaspersky Endpoint Security primește sarcini de răspuns la amenințări și trimite rezultatele sarcinilor.
      2. Faceți clic pe linkul Connection settings.
      3. Configurează conexiunea la serverele de răspuns:
         • Timeout (sec). Expirarea timpului maxim de răspuns al serverului. Când timpul de expirare se termină, Kaspersky Endpoint Security încearcă să se conecteze la un alt server.
         • Server certificate. Certificat TLS pentru stabilirea unei conexiuni de încredere cu serverul. Poți obține un certificat TLS pe ​​Open Single Management Platform (consultă instrucțiunile din Ajutor pentru Kaspersky Endpoint Detection and Response Expert (on-premise)).
         • Use two-way authentication. Autentificare mutuală la stabilirea unei conexiuni securizate între Kaspersky Endpoint Security și server. Pentru a utiliza autentificarea mutuală, trebuie să activezi autentificarea mutuală în setările serverului, apoi să obții un container crypto și să setezi o parolă pentru a proteja containerul crypto. Un cripto-container este o arhivă PFX cu un certificat și o cheie privată. Poți obține un container crypto pe Open Single Management Platform (consultă instrucțiunile din Ajutor pentru Kaspersky Endpoint Detection and Response Expert (on-premise)). După configurarea setărilor serverului, trebuie să activezi autentificarea mutuală și în setările Kaspersky Endpoint Security și să încarci un container crypto protejat prin parolă.

           Criptocontainerul trebuie să fie protejat prin parolă. Nu este posibil să adăugați un criptocontainer cu o parolă necompletată.

      4. Fă clic pe OK.
      5. Adaugă servere de răspuns. Pentru a face acest lucru, specificați adresa serverului (IPv4, IPv6) și portul de conectare la server.

         Poți adăuga mai multe adrese de servere de răspuns. Kaspersky Endpoint Security încearcă să se conecteze la server la prima adresă IP. Dacă nu se poate stabili o conexiune, Kaspersky Endpoint Security încearcă să se conecteze la a doua adresă IP din listă și așa mai departe.

   9. Salvați-vă modificările. Pentru a aplica politica pe computere, închide lacătele .

   Drept urmare, computerul este adăugat pe Open Single Management Platform (OSMP). Verificați starea de funcționare a componentei, vizualizând Report on status of application components. De asemenea, puteți vizualiza starea de funcționare a unei componente în rapoarte, în interfața locală a Kaspersky Endpoint Security. Componenta Endpoint Detection and Response Expert (on-premise) va fi adăugată la lista componentelor Kaspersky Endpoint Security.

Începutul paginii