Guide de migration KEA vers KES pour EDR (KATA)

À partir de la version 12.1, Kaspersky Endpoint Security for Windows inclut désormais un agent intégré pour la gestion du module Kaspersky Endpoint Detection and Response dans le cadre de la solution Kaspersky Anti Targeted Attack Platform. Vous n'avez plus besoin d'une application Kaspersky Endpoint Agent distincte pour utiliser EDR (KATA). Toutes les fonctions de Kaspersky Endpoint Agent seront exécutées par Kaspersky Endpoint Security. La charge sur les serveurs de Kaspersky Anti Targeted Attack Platform restera la même.

Lorsque vous déployez Kaspersky Endpoint Security sur des ordinateurs sur lesquels Kaspersky Endpoint Agent est installé, la solution Kaspersky Anti Targeted Attack Platform (EDR) continuera à fonctionner avec Kaspersky Endpoint Security. De plus, Kaspersky Endpoint Agent sera supprimé de l'ordinateur. Le même comportement dans le système se produira lors de la mise à jour de Kaspersky Endpoint Security vers la version 12.1 ou toute version ultérieure.

Kaspersky Endpoint Security n'est pas compatible avec Kaspersky Endpoint Agent. Vous ne pouvez pas installer ces deux applications sur le même ordinateur.

Les conditions suivantes doivent être remplies pour que Kaspersky Endpoint Security fonctionne dans le cadre de Endpoint Detection and Response (KATA) :

• Kaspersky Anti Targeted Attack Platform version 5.0 ou toute version ultérieure.
• Kaspersky Security Center version 14.2 ou version ultérieure (y compris l'Agent d'administration). Dans les versions antérieures de Kaspersky Security Center, il est impossible d'activer la fonctionnalité Endpoint Detection and Response (KATA).

Étapes de migration de la configuration [KES KEA] vers [KES+agent intégré] pour EDR (KATA)

1. Mise à niveau du plug-in d'administration de Kaspersky Endpoint Security

   Le module EDR (KATA) peut être géré à l'aide du plug-in d'administration de Kaspersky Endpoint Security version 12.1 ou version ultérieure. Selon le type de console Kaspersky Security Center que vous utilisez, mettez à jour le plug-in d'administration dans la Console d'administration (MMC) ou le plug-in Internet dans Web Console.

2. Migration des stratégies et des tâches

   Transférez les paramètres de Kaspersky Endpoint Agent vers Kaspersky Endpoint Security for Windows. Les options suivantes existent :

   • Un assistant de migration de Kaspersky Endpoint Agent vers Kaspersky Endpoint Security. L'assistant de migration de Kaspersky Endpoint Agent vers Kaspersky Endpoint Security fonctionne uniquement dans Web Console

     Migration des paramètres de stratégies et de tâches depuis Kaspersky Endpoint Agent vers Kaspersky Endpoint Security dans Web Console

     Dans la fenêtre principale de Web Console, sélectionnez Opérations → Migration à partir de Kaspersky Endpoint Agent.

     Cela lance l'assistant de migration de stratégies et de tâches. Suivez les instructions de l'assistant.

     Étape 1. Migration de stratégie

     L'assistant de migration crée une stratégie que fusionne les paramètres des stratégies de Kaspersky Endpoint Security et Kaspersky Endpoint Agent. Dans la liste de stratégies, sélectionnez les stratégies de Kaspersky Endpoint Agent dont vous souhaitez fusionner les paramètres avec ceux de la stratégie de Kaspersky Endpoint Security. Cliquez sur une stratégie de Kaspersky Endpoint Agent pour sélectionner la stratégie Kaspersky Endpoint Security avec laquelle vous souhaitez fusionner les paramètres. Confirmez que vous avez sélectionné les bonnes stratégies, puis passez à l'étape suivante.

     Étape 2. Migration d'une tâche

     L'assistant de migration ne prend pas en charge les tâches EDR (KATA). Ignorez cette étape.

     Étape 3. Fin de l'assistant

     Quittez l'assistant. À la suite de l'assistant, une nouvelle stratégie de Kaspersky Endpoint Security sera créée. La stratégie fusionne les paramètres de Kaspersky Endpoint Security et Kaspersky Endpoint Agent La stratégie porte le nom <Nom de stratégie de Kaspersky Endpoint Security> et <Nom de stratégie de Kaspersky Endpoint Agent>. La nouvelle stratégie porte l'état Inactive. Pour continuer, changez l'état des stratégies de Kaspersky Endpoint Agent et Kaspersky Endpoint Security sur Inactive et activez la nouvelle stratégie fusionnée.

     L'assistant de migration de Web Console ignore les paramètres de stratégie suivants et ne les migre pas :

     • Interdiction de modification des paramètres Paramètres de connexion aux serveurs KATA (« cadenas »).

       Par défaut, les paramètres peuvent être modifiés (le « cadenas » est ouvert). Par conséquent, les paramètres ne sont pas appliqués sur l'ordinateur. Vous devez interdire la modification des paramètres et fermer le « cadenas ».

     • Conteneur crypto.

       Si vous utilisez l'authentification bidirectionnelle pour vous connecter aux serveurs de Central Node, vous devez rajouter le conteneur crypto.

     Comme l'assistant de migration ne migre pas ces paramètres, vous pouvez rencontrer des erreurs lors de la connexion de l'ordinateur aux serveurs de Central Node. Pour corriger les erreurs, vous devez accéder aux propriétés de la stratégie et configurer les paramètres de connexion.

   • Un assistant standard de conversion de masse des stratégies et des tâches L'Assistant de conversion de masse des stratégies et des tâches est uniquement disponible dans la Console d'administration (MMC). Pour en savoir plus sur l'assistant de conversion de masse des stratégies et des tâches, consultez l'aide de Kaspersky Security Center.

   Pour assurer le bon fonctionnement de Kaspersky Endpoint Security sur les serveurs, il est recommandé d'ajouter à la zone de confiance les fichiers importants pour le fonctionnement du serveur. Pour les serveurs SQL, vous devez ajouter des fichiers de base de données MDF et LDF. Pour les serveurs Microsoft Exchange, vous devez ajouter des fichiers CHK, EDB, JRS, LOG et JSL. Vous pouvez utiliser des masques, par exemple, C:\Program Files (x86)\Microsoft SQL Server\*.mdf.

   À compter de Kaspersky Endpoint Security 12.6 for Windows, des exclusions de l'analyse et des applications de confiance sont ajoutées à la zone de confiance. Les exclusions de l'analyse et les applications de confiance prédéfinies permettent de configurer rapidement Kaspersky Endpoint Security sur les serveurs SQL, les serveurs Microsoft Exchange et System Center Configuration Manager. Cela signifie que vous n'avez pas besoin de configurer manuellement une zone de confiance pour l'application sur les serveurs.

   Les exclusions de télémétrie EDR ne migrent pas de la politique de Kaspersky Endpoint Agent vers la politique de Kaspersky Endpoint Security. Kaspersky Endpoint Security dispose de ses propres outils d'exclusion - applications de confiance. Le fonctionnement de Kaspersky Endpoint Security est optimisé afin que l'absence d'exclusions de télémétrie EDR individuelles n'entraîne aucune charge supplémentaire sur votre ordinateur par rapport à Kaspersky Endpoint Agent. Kaspersky Endpoint Security utilise les données télémétriques non seulement pour EDR (KATA), mais également pour le fonctionnement des modules de protection des applications. Par conséquent, il n'est pas nécessaire de transférer les exclusions de télémétrie EDR individuelles. Si les performances de l'ordinateur diminuent, vérifiez le fonctionnement de l'application (voir étape 7 Vérification des performances).

3. Licence pour la fonctionnalité EDR (KATA)

   Pour activer Kaspersky Endpoint Security dans le cadre de la solution Kaspersky Anti Targeted Attack Platform, vous avez besoin d'une licence distincte pour le module complémentaire Kaspersky Endpoint Detection and Response (KATA). Vous pouvez ajouter la clé à l'aide de la tâche Ajout d'une clé. En conséquence, deux clés seront ajoutées à l'application : Kaspersky Endpoint Security et Kaspersky Endpoint Detection and Response (KATA).

   L'activation d'une licence pour le module complémentaire Kaspersky Endpoint Detection and Response (KATA) sur des ordinateurs disposant de fonctionnalités EDR Optimum ou EDR Expert préalablement activées implique les considérations spéciales suivantes :

   • Si vous utilisez un fichier clé pour la licence de Kaspersky Endpoint Security avec les fonctionnalités EDR Optimum ou EDR Expert, vous ne pouvez pas ajouter une clé séparée pour le module complémentaire Kaspersky Endpoint Detection and Response (KATA). Vous pouvez soit passer à l'utilisation d'un code d'activation pour la licence, soit contacter votre fournisseur de services pour obtenir un nouveau fichier clé pour l'activation de Kaspersky Endpoint Security et des fonctionnalités EDR. Le fournisseur de services fournira un ou plusieurs fichiers clés pour l'octroi de licences.
   • Si vous utilisez un fichier clé pour obtenir une licence Kaspersky Endpoint Security sans les fonctionnalités EDR Optimum ou EDR Expert, vous pouvez ajouter une clé séparée pour le module complémentaire Kaspersky Endpoint Detection and Response (KATA) sans que les fichiers clés ne soient réémis.
   • Si vous utilisez un code d'activation pour les licences, le serveur d'activation de Kaspersky réémettra automatiquement les clés, et les fonctionnalités EDR (KATA) seront disponibles automatiquement. Dans ce cas, EDR Optimum et EDR Expert seront désactivés.
   • Kaspersky Endpoint Security vous permet d'ajouter jusqu'à deux clés actives : la clé Kaspersky Endpoint Security et la clé de type module complémentaire. Vous pouvez également ajouter jusqu'à deux clés de réserve. Une clé de réserve Kaspersky Endpoint Security et une clé de réserve de type module complémentaire.
4. Installation/Mise à niveau de l'application Kaspersky Endpoint Security

   Pour migrer la fonctionnalité EDR (KATA) lors de l'installation ou de la mise à niveau d'une application, il est recommandé d'utiliser la tâche d'installation à distance. Lors de la création d'une tâche d'installation à distance, vous devez sélectionner le composant EDR (KATA) dans les paramètres du paquet d'installation.

   Vous pouvez également mettre à niveau l'application en utilisant les méthodes suivantes :

   • А̀ l'aide du service de mise à jour de Kaspersky.
   • Localement à l'aide de l'Assistant d'installation de l'application.

   Kaspersky Endpoint Security prend en charge la sélection automatique des modules lors de la mise à niveau de l'application sur un ordinateur sur lequel est installée l'application Kaspersky Endpoint Agent. La sélection automatique des modules dépend des autorisations du compte utilisateur qui met à niveau l'application.

   Si vous mettez à jour Kaspersky Endpoint Security en utilisant le fichier EXE ou MSI sous le compte système (SYSTEM), Kaspersky Endpoint Security obtient l'accès aux licences valides des solutions Kaspersky. Par conséquent, si Kaspersky Endpoint Agent est installé et la solution EDR (KATA) est activée sur l'ordinateur, le programme d'installation de Kaspersky Endpoint Security configure automatiquement l'ensemble des modules et sélectionne le module EDR (KATA). Cette opération fait passer Kaspersky Endpoint Security à l'utilisation de l'agent intégré et supprime Kaspersky Endpoint Agent. L'exécution du programme d'installation MSI sous le compte système (SYSTEM) est généralement effectuée lors de la mise à jour via le service de mise à jour Kaspersky ou lors du déploiement d'un paquet d'installation via Kaspersky Security Center.

   Si vous mettez à niveau Kaspersky Endpoint Security à l'aide d'un fichier MSI sous un compte utilisateur non privilégié, Kaspersky Endpoint Security n'a pas accès aux licences valides des solutions Kaspersky. Dans ce cas, Kaspersky Endpoint Security sélectionne automatiquement les modules en fonction d'un ensemble de modules de Kaspersky Endpoint Agent. Après cela, Kaspersky Endpoint Security passe à l'utilisation de l'agent intégré et supprime Kaspersky Endpoint Agent.

   Kaspersky Endpoint Security prend en charge la mise à niveau sans redémarrage de l'ordinateur. Vous pouvez sélectionner le mode de mise à niveau de l'application dans les propriétés de la stratégie.

5. Vérification du fonctionnement de l'application

   Si après l'installation ou la mise à niveau de l'application, l'ordinateur présente l'état Critique dans la console de Kaspersky Security Center, procédez comme suit :

   • Assurez-vous que la version 13.2 de l'Agent d'administration ou une version ultérieure est installée sur l'ordinateur.
   • Vérifiez l'état de fonctionnement de l'agent intégré en consultant le rapport sur l'état des modules de l'application. Si un module présente l'état Non installé, installez-le à l'aide de la tâche Modification de la sélection des modules de l'application. Si un module présente l'état Non compris dans la licence, assurez-vous d'avoir activé la fonctionnalité d'agent intégré.
   • Assurez-vous d'accepter la Déclaration de Kaspersky Security Network dans la nouvelle stratégie de Kaspersky Endpoint Security for Windows.
6. Vérification de la connexion au serveur de Kaspersky Anti Targeted Attack Platform

   Vérifiez la connexion au serveur Kaspersky Anti Targeted Attack Platform. Pour ce faire, procédez comme suit :

   1. Vérifiez que vous disposez d'un certificat valide.
   2. Vérifiez les paramètres de connexion au serveur.
   3. Vérifiez le journal des événements.

      Si une connexion au serveur est établie, l'application envoie l'événement La connexion au serveur Kaspersky Anti Targeted Attack Platform a correctement été établie. S'il n'y a pas d'événement de connexion réussie et qu'il n'y a pas d'événements avec des erreurs de connexion, vérifiez les paramètres du journal des événements et activez l'envoi d'événements pour Endpoint Detection and Response (KATA).

   L'état de la connexion au serveur n'affecte pas l'état de l'ordinateur dans la console Kaspersky Security Center. Par conséquent, s'il n'y a pas de connexion au serveur, l'ordinateur peut toujours avoir l'état OK. Consultez le journal des événements pour vérifier la connexion au serveur.

7. Vérification des performances

   Si les performances de votre ordinateur ont ralenti après l'installation ou la mise à jour d'une application, vous pouvez optimiser le transfert de données. Pour ce faire, procédez comme suit :

   1. Désactivez le module EDR (KATA) et vérifiez que la dégradation des performances est due à EDR (KATA).
   2. Pour les applications de confiance, désactivez la collecte de données télémétriques sur les opérations d'entrée de console (activé par défaut).
   3. Ajoutez des applications qui réduisent les performances de l'ordinateur à la liste des applications de confiance.
   4. Contactez le support technique de Kaspersky. Les experts du support vous aideront à configurer le filtrage des données télémétriques dans Kaspersky Anti Targeted Attack Platform. La quantité de trafic sera réduite. Si les performances de votre ordinateur sont compromises par une application en particulier, joignez le paquet de distribution de l'application en question à votre demande.

Haut de page