Integrarea agentului EDR cu EDR Expert (on-premise)

EDR Agent este instalat pe stațiile de lucru și serverele din infrastructura IT a organizației. Pe aceste computere, EDR Agent monitorizează continuu procesele, conexiunile la rețea deschise și fișierele care sunt modificate și trimite datele de monitorizare către serverul EDR Expert (on-premise).

Pentru integrarea cu EDR Expert (on-premise), trebuie să activezi componenta Endpoint Detection and Response Expert (on-premise) și să configurezi EDR Agent.

Integrarea cu Kaspersky Endpoint Detection and Response Expert (on-premise) presupune următorii pași:

Activarea Kaspersky Endpoint Detection and Response Expert (on-premise)
Trebuie să achiziționezi o licență separată pentru EDR Expert (on-premise) (suplimentul Kaspersky Endpoint Detection and Response Expert (on-premise)).

Funcționalitatea devine disponibilă după adăugarea unei chei separate pentru Kaspersky Endpoint Detection and Response Expert (on-premise). Licențierea funcționalității individuale Endpoint Detection and Response Expert (on-premise) se realizează la fel ca licențierea componentei Kaspersky Endpoint Security.

Asigură-te că funcționalitatea componentei EDR Expert (on-premise) este inclusă în licență și că aceasta se execută în interfața locală a aplicației.
Conectarea la serverul de colectare a telemetriei și la serverul de răspuns
Kaspersky Endpoint Detection and Response Expert (on-premise) necesită o conexiune de încredere între Kaspersky Endpoint Security și două servere:
- Un server de colectare a telemetriei este un server care face parte dintr-o soluție SIEM și care colectează, normalizează, corelează, analizează și stochează informații despre evenimentele care au loc pe computer.
- Un server de răspuns este un server pentru primirea și scanarea datelor, studierea comportamentului obiectelor și publicarea rezultatelor acestor studii.
Pentru a configura o conexiune de încredere, trebuie să utilizați un certificat TLS. Poți obține un certificat TLS pe Open Single Management Platform (consultă instrucțiunile din Ajutor pentru Kaspersky Endpoint Detection and Response Expert (on-premise)). Apoi, trebuie să adăugați certificatul TLS la Kaspersky Endpoint Security (consultați instrucțiunile de mai jos).

În mod implicit, Kaspersky Endpoint Security verifică doar certificatul TLS al serverelor. Pentru a face conexiunea mai sigură, poți activa suplimentar verificarea computerului pe server (autentificare mutuală). Pentru a activa această verificare, trebuie să activezi autentificarea mutuală în setările serverului și ale Kaspersky Endpoint Security. Pentru a utiliza autentificarea mutuală, veți avea nevoie și de un cripto-container. Un cripto-container este o arhivă PFX cu un certificat și o cheie privată. Poți obține un container crypto pe Open Single Management Platform (consultă instrucțiunile din Ajutor pentru Kaspersky Endpoint Detection and Response Expert (on-premise)).

Cum conectezi un computer Kaspersky Endpoint Security la EDR Expert (on-premise) utilizând Web Console
1. În fereastra principală a Web Console, selectați fila Assets (Devices) → Policies & profiles.
2. Faceți clic pe numele politicii Kaspersky Endpoint Security.
  Se deschide fereastra de proprietăți a politicii.
3. Selectați fila Application settings.
4. Accesați Built-in Agents Configuration → Endpoint Detection and Response Expert (on-premise).
5. Duceți comutatorul Endpoint Detection and Response Expert (on-premise) ENABLED la poziția activat.
6. Pentru a configura EDR Expert (on-premise), selectează Endpoint Detection and Response Expert (version 8.0 or later) din lista de soluții.
7. Configurează conexiunea la serverele de colectare a telemetriei:
  1. În blocul Connection to telemetry collection servers, faceți clic pe linkul Connection settings.
  2. Configurează conexiunea la serverele de colectare a telemetriei:
    - Timeout (sec). Expirarea timpului maxim de răspuns al serverului. Când timpul de expirare se termină, Kaspersky Endpoint Security încearcă să se conecteze la un alt server.
    - Server certificate. Certificat TLS pentru stabilirea unei conexiuni de încredere cu serverul. Poți obține un certificat TLS pe Open Single Management Platform (consultă instrucțiunile din Ajutor pentru Kaspersky Endpoint Detection and Response Expert (on-premise)).
    - Use two-way authentication. Autentificare mutuală la stabilirea unei conexiuni securizate între Kaspersky Endpoint Security și server. Pentru a utiliza autentificarea mutuală, trebuie să activezi autentificarea mutuală în setările serverului, apoi să obții un container crypto și să setezi o parolă pentru a proteja containerul crypto. Un cripto-container este o arhivă PFX cu un certificat și o cheie privată. Poți obține un container crypto pe Open Single Management Platform (consultă instrucțiunile din Ajutor pentru Kaspersky Endpoint Detection and Response Expert (on-premise)). După configurarea setărilor serverului, trebuie să activezi autentificarea mutuală și în setările Kaspersky Endpoint Security și să încarci un container crypto protejat prin parolă.
      Criptocontainerul trebuie să fie protejat prin parolă. Nu este posibil să adăugați un criptocontainer cu o parolă necompletată.
  3. Fă clic pe OK.
  4. Adaugă servere de colectare a telemetriei. Pentru a face acest lucru, specificați adresa serverului (IPv4, IPv6) și portul de conectare la server.
    Poți adăuga mai multe adrese de server de colectare a datelor de telemetrie. Kaspersky Endpoint Security încearcă să se conecteze la server la prima adresă IP. Dacă nu se poate stabili o conexiune, Kaspersky Endpoint Security încearcă să se conecteze la a doua adresă IP din listă și așa mai departe.
  5. Dacă este necesar, configurează telemetria.
8. Configurează conexiunea la serverele de răspuns:
  1. În blocul Connection to response servers, configurează setările pentru Send sync request to server every (min). Frecvența solicitărilor de sincronizare trimise către serverul. În timpul sincronizării, Kaspersky Endpoint Security primește sarcini de răspuns la amenințări și trimite rezultatele sarcinilor.
  2. Faceți clic pe linkul Connection settings.
  3. Configurează conexiunea la serverele de răspuns:
    - Timeout (sec). Expirarea timpului maxim de răspuns al serverului. Când timpul de expirare se termină, Kaspersky Endpoint Security încearcă să se conecteze la un alt server.
    - Server certificate. Certificat TLS pentru stabilirea unei conexiuni de încredere cu serverul. Poți obține un certificat TLS pe Open Single Management Platform (consultă instrucțiunile din Ajutor pentru Kaspersky Endpoint Detection and Response Expert (on-premise)).
    - Use two-way authentication. Autentificare mutuală la stabilirea unei conexiuni securizate între Kaspersky Endpoint Security și server. Pentru a utiliza autentificarea mutuală, trebuie să activezi autentificarea mutuală în setările serverului, apoi să obții un container crypto și să setezi o parolă pentru a proteja containerul crypto. Un cripto-container este o arhivă PFX cu un certificat și o cheie privată. Poți obține un container crypto pe Open Single Management Platform (consultă instrucțiunile din Ajutor pentru Kaspersky Endpoint Detection and Response Expert (on-premise)). După configurarea setărilor serverului, trebuie să activezi autentificarea mutuală și în setările Kaspersky Endpoint Security și să încarci un container crypto protejat prin parolă.
      Criptocontainerul trebuie să fie protejat prin parolă. Nu este posibil să adăugați un criptocontainer cu o parolă necompletată.
  4. Fă clic pe OK.
  5. Adaugă servere de răspuns. Pentru a face acest lucru, specificați adresa serverului (IPv4, IPv6) și portul de conectare la server.
    Poți adăuga mai multe adrese de servere de răspuns. Kaspersky Endpoint Security încearcă să se conecteze la server la prima adresă IP. Dacă nu se poate stabili o conexiune, Kaspersky Endpoint Security încearcă să se conecteze la a doua adresă IP din listă și așa mai departe.
9. Salvați-vă modificările. Pentru a aplica politica pe computere, închide lacătele .
Drept urmare, computerul este adăugat pe Open Single Management Platform (OSMP). Verificați starea de funcționare a componentei, vizualizând Report on status of application components. De asemenea, puteți vizualiza starea de funcționare a unei componente în rapoarte, în interfața locală a Kaspersky Endpoint Security. Componenta Endpoint Detection and Response Expert (on-premise) va fi adăugată la lista componentelor Kaspersky Endpoint Security.

Începutul paginii