将 EDR Agent 与 KATA（EDR）集成

EDR Agent 安装在组织 IT 基础设施中的工作站和服务器上。在这些计算机上，EDR Agent 持续监控进程、打开的网络连接和正在修改的文件，并将监控数据发送到 EDR Expert (on-premise) 服务器。

要与 EDR Expert (on-premise) 集成，您必须启用 Endpoint Detection and Response Expert (on-premise) 组件并配置 EDR Agent。

与 Kaspersky Endpoint Detection and Response Expert (on-premise) 的集成包括以下步骤：

激活 Kaspersky Endpoint Detection and Response Expert (on-premise)
您需要为 EDR Expert (on-premise)（Kaspersky Endpoint Detection and Response Expert (on-premise) 加载项）购买单独的授权许可。

该功能将在为 Kaspersky Endpoint Detection and Response Expert (on-premise) 添加单独密钥后可用。独立 Endpoint Detection and Response Expert (on-premise) 功能的授权许可与 Kaspersky Endpoint Security 的相同。

确保授权许可中包含 EDR Expert (on-premise) 功能，并且该功能正在应用程序的本地界面中运行。
连接到遥测采集服务器和响应服务器
Kaspersky Endpoint Detection and Response Expert (on-premise) 需要 Kaspersky Endpoint Security 与两台服务器之间受信任连接：
- 遥测采集服务器 是 SIEM 解决方案的一部分，用于收集、规范化、关联、分析和存储有关计算机上发生的事件的信息。
- 响应服务器 是一个用于接收和扫描数据、研究对象行为和发布此类研究结果的服务器。
要配置可信连接，您必须使用 TLS 证书。您可以在 Open Single Management Platform 上获取 TLS 证书（请参阅 Kaspersky Endpoint Detection and Response Expert (on-premise) 帮助中的说明）。然后您必须将 TLS 证书添加到 Kaspersky Endpoint Security（参见下面的说明）。

默认情况下，Kaspersky Endpoint Security 仅检查服务器的 TLS 证书。为了使连接更安全，您可以额外启用服务器上的计算机验证（双向身份验证）。要启用此验证，您必须在服务器和 Kaspersky Endpoint Security 设置中打开双向身份验证。要使用双向身份验证，您还需要一个加密容器。加密容器是带有证书和私钥的 PFX 存档。您可以在 Open Single Management Platform 上获取加密容器（请参阅 Kaspersky Endpoint Detection and Response Expert (on-premise) 帮助中的说明）。

如何使用 Web Console 将 Kaspersky Endpoint Security 计算机连接到 EDR Expert (on-premise)
1. 在 Web Console 的主窗口中，选择“资产(设备)” → “策略和配置文件”选项卡。
2. 单击 Kaspersky Endpoint Security 策略的名称。
  策略属性窗口将打开。
3. 选择应用程序设置选项卡。
4. 选择内置代理配置 → Endpoint Detection and Response Expert (on-premise)。
5. 开启 Endpoint Detection and Response Expert (on-premise) 已启用切换开关。
6. 要配置 EDR Expert (on-premise)，请从解决方案列表中选择“Endpoint Detection and Response Expert (版本 8.0 或更高版本)”。
7. 配置遥测采集服务器连接：
  1. 在“连接到遥测采集服务器”区域，单击“连接设置”链接。
  2. 配置遥测采集服务器连接：
    - “超时(秒)”。最大服务器响应超时。当超时用完时，Kaspersky Endpoint Security 会尝试连接到不同的服务器。
    - “服务器证书”。用于与服务器建立受信任连接的 TLS 证书。您可以在 Open Single Management Platform 上获取 TLS 证书（请参阅 Kaspersky Endpoint Detection and Response Expert (on-premise) 帮助中的说明）。
    - “使用双向身份验证”。在 Kaspersky Endpoint Security 和服务器之间建立安全连接时进行双向身份验证。要使用双向身份验证，您需要在服务器设置中启用双向身份验证，然后获取加密容器并设置密码以保护加密容器。加密容器是带有证书和私钥的 PFX 存档。您可以在 Open Single Management Platform 上获取加密容器（请参阅 Kaspersky Endpoint Detection and Response Expert (on-premise) 帮助中的说明）。配置服务器设置后，您还需要在 Kaspersky Endpoint Security 设置中启用双向身份验证并加载受密码保护的加密容器。
      加密容器必须受密码保护。无法添加密码为空的加密容器。
  3. 单击“确定”。
  4. 添加遥测采集服务器。为此，请指定服务器地址（IPv4、IPv6）和连接到服务器的端口。
    您可以添加多个遥测采集服务器地址。Kaspersky Endpoint Security 尝试连接到第一个 IP 地址的服务器。如果连接失败，Kaspersky Endpoint Security 将尝试连接到列表中的第二个 IP 地址，依此类推。
  5. 如果有必要，配置遥测。
8. 配置响应服务器连接：
  1. 在“连接到响应服务器”块中，配置“发送同步请求到服务器的间隔(分钟)”设置。发送到服务器的同步请求的频率。在同步过程中，Kaspersky Endpoint Security 接收威胁响应任务并发送任务结果。
  2. 单击连接设置链接。
  3. 配置响应服务器连接：
    - “超时(秒)”。最大服务器响应超时。当超时用完时，Kaspersky Endpoint Security 会尝试连接到不同的服务器。
    - “服务器证书”。用于与服务器建立受信任连接的 TLS 证书。您可以在 Open Single Management Platform 上获取 TLS 证书（请参阅 Kaspersky Endpoint Detection and Response Expert (on-premise) 帮助中的说明）。
    - “使用双向身份验证”。在 Kaspersky Endpoint Security 和服务器之间建立安全连接时进行双向身份验证。要使用双向身份验证，您需要在服务器设置中启用双向身份验证，然后获取加密容器并设置密码以保护加密容器。加密容器是带有证书和私钥的 PFX 存档。您可以在 Open Single Management Platform 上获取加密容器（请参阅 Kaspersky Endpoint Detection and Response Expert (on-premise) 帮助中的说明）。配置服务器设置后，您还需要在 Kaspersky Endpoint Security 设置中启用双向身份验证并加载受密码保护的加密容器。
      加密容器必须受密码保护。无法添加密码为空的加密容器。
  4. 单击“确定”。
  5. 添加响应服务器。为此，请指定服务器地址（IPv4、IPv6）和连接到服务器的端口。
    您可以添加多个响应服务器地址。Kaspersky Endpoint Security 尝试连接到第一个 IP 地址的服务器。如果连接失败，Kaspersky Endpoint Security 将尝试连接到列表中的第二个 IP 地址，依此类推。
9. 保存更改。要在计算机上应用该策略，请关闭“挂锁”。
因此，该计算机被添加到 Open Single Management Platform (OSMP) 中。通过查看应用程序组件状态报告检查组件的操作状态。您也可以利用 Kaspersky Endpoint Security 的本地界面在报告中查看组件的操作状态。Endpoint Detection and Response Expert (on-premise) 组件将被添加到 Kaspersky Endpoint Security 组件列表。

页面顶部