Интеграция встроенного агента с EDR / NDR (KATA)

Для интеграции с EDR / NDR (KATA) вам нужно добавить соответствующий компонент: Endpoint Detection and Response (KATA) или Network Detection and Response (KATA). Вы можете выбрать компоненты для интеграции с EDR / NDR (KATA) во время установки или обновления приложения, а также с помощью задачи Изменение состава компонентов приложения.

Компоненты EDR Optimum, EDR Expert и EDR (KATA) несовместимы между собой.

Для работы EDR / NDR (KATA) должны быть выполнены следующие условия:

EDR (KATA): Kaspersky Anti Targeted Attack Platform версии 5.0 или выше.
NDR (KATA): Kaspersky Anti Targeted Attack Platform версии 6.0 или выше.
Kaspersky Security Center версии 14.2 или выше. В более ранних версиях Kaspersky Security Center невозможно активировать функциональность EDR / NDR (KATA).
Приложение активировано и функциональность входит в лицензию.
Компоненты Endpoint Detection and Response (KATA) и Network Detection and Response (KATA) включены.
Компоненты приложения, которые обеспечивают работу EDR / NDR (KATA), включены и работают. Работу EDR / NDR (KATA) обеспечивают следующие компоненты:

Интеграция с Endpoint Detection and Response (KATA) состоит из следующих этапов:

Установка компонентов Endpoint Detection and Response (KATA) и Network Detection and Response (KATA)
Вы можете выбрать компоненты EDR (KATA) и NDR (KATA) во время установки или обновления приложения, а также с помощью задачи Изменение состава компонентов приложения.

Для завершения обновления приложения с новыми компонентами нужно перезагрузить компьютер.
Активация Endpoint Detection and Response (KATA) и Network Detection and Response (KATA)
Вам нужно приобрести отдельную лицензию на использование EDR (KATA) и NDR (KATA) (например, Kaspersky Endpoint Detection and Response (KATA) Add-on).

Функциональность будет доступна после добавления отдельного ключа, который включает в себя функциональности EDR (KATA) и NDR (KATA). В результате на компьютере будет добавлено несколько ключей: ключ для Kaspersky Endpoint Security и ключи для Endpoint Detection and Response (KATA) и Network Detection and Response (KATA).

Лицензирование отдельных функциональностей EDR (KATA) и NDR (KATA) не отличается от лицензирования Kaspersky Endpoint Security.

Убедитесь, что функциональности EDR (KATA) и NDR (KATA) включены в лицензию и работают в локальном интерфейсе приложения.
Подключение к Central Node
Для работы Kaspersky Anti Targeted Attack Platform необходимо установить доверенное соединение между Kaspersky Endpoint Security и компонентом Central Node. Для настройки доверенного соединения вам нужен TLS-сертификат. Вы можете получить TLS-сертификат в консоли Kaspersky Anti Targeted Attack Platform (см. инструкцию в справке Kaspersky Anti Targeted Attack Platform). Далее вам нужно добавить TLS-сертификат в Kaspersky Endpoint Security (см. инструкцию ниже).

Добавление TLS-сертификата в Kaspersky Endpoint Security

По умолчанию Kaspersky Endpoint Security проверяет только TLS-сертификат Central Node. Чтобы сделать соединение более безопасным, вы можете включить дополнительную проверку компьютера в Central Node (двусторонняя аутентификация). Для включения такой проверки вам нужно включить двустороннюю аутентификацию в параметрах Central Node и Kaspersky Endpoint Security. Также для двусторонней аутентификации вам нужен криптоконтейнер. Криптоконтейнер – PFX-архив с сертификатом и закрытым ключом. Вы можете получить криптоконтейнер в консоли Kaspersky Anti Targeted Attack Platform (см. инструкцию в справке Kaspersky Anti Targeted Attack Platform).

Как подключить компьютер с Kaspersky Endpoint Security к Central Node в Консоли администрирования (MMC)
1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли выберите папку Политики.
3. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
4. В окне политики выберите Detection and Response и выберите компонент, который вы хотите настроить: Endpoint Detection and Response (KATA) или Network Detection and Response (KATA).
5. Установите соответствующий флажок: Endpoint Detection and Response (KATA) или Network Detection and Response (KATA).
6. Нажмите на кнопку Настройки подключения к серверам KATA.
7. Настройте параметры подключения к серверам:
  - Время ожидания (сек.). Максимальное время ожидания ответа от сервера Central Node. По истечению времени ожидания Kaspersky Endpoint Security пытается подключиться к другому серверу Central Node.
  - TLS-сертификат сервера. TLS-сертификат для установки доверенного соединения с сервером Central Node. Вы можете получить TLS-сертификат в консоли Kaspersky Anti Targeted Attack Platform (см. инструкцию в справке Kaspersky Anti Targeted Attack Platform).
  - Использовать двустороннюю аутентификацию. Двусторонняя аутентификация при установлении безопасного соединения между Kaspersky Endpoint Security и Central Node. Для использования двусторонней аутентификации вам нужно в параметрах Central Node включить функцию двусторонней аутентификации, далее получить криптоконтейнер и установить пароль для защиты криптоконтейнера. Криптоконтейнер – PFX-архив с сертификатом и закрытым ключом агента. Вы можете получить криптоконтейнер в консоли Kaspersky Anti Targeted Attack Platform (см. инструкцию в справке Kaspersky Anti Targeted Attack Platform). После настройки параметров Central Node вам нужно в параметрах Kaspersky Endpoint Security также включить функцию двусторонней аутентификации и загрузить защищенный паролем криптоконтейнер.
    Криптоконтейнер должен быть защищен паролем. Добавить криптоконтейнер с пустым паролем невозможно.
8. Нажмите на кнопку OK.
9. Добавьте серверы Central Node. Для этого укажите адрес сервера (IPv4, IPv6), а также порт подключения к серверу.
10. Если требуется, настройте параметры отправки телеметрии.
11. Сохраните внесенные изменения.
Как подключить компьютер с Kaspersky Endpoint Security к Central Node в Web Console
1. В главном окне Web Console выберите Устройства → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.
  Откроется окно свойств политики.
3. Выберите закладку Параметры программы.
4. Перейдите в раздел Detection and Response и выберите компонент, который вы хотите настроить: Endpoint Detection and Response (KATA) или Network Detection and Response (KATA).
5. Включите соответствующий переключатель: Endpoint Detection and Response (KATA) ВКЛЮЧЕН или Network Detection and Response (KATA) ВКЛЮЧЕН.
6. Нажмите на кнопку Настройки подключения к серверам KATA.
7. Настройте параметры подключения к серверам:
  - Время ожидания (сек.). Максимальное время ожидания ответа от сервера Central Node. По истечению времени ожидания Kaspersky Endpoint Security пытается подключиться к другому серверу Central Node.
  - TLS-сертификат сервера. TLS-сертификат для установки доверенного соединения с сервером Central Node. Вы можете получить TLS-сертификат в консоли Kaspersky Anti Targeted Attack Platform (см. инструкцию в справке Kaspersky Anti Targeted Attack Platform).
  - Использовать двустороннюю аутентификацию. Двусторонняя аутентификация при установлении безопасного соединения между Kaspersky Endpoint Security и Central Node. Для использования двусторонней аутентификации вам нужно в параметрах Central Node включить функцию двусторонней аутентификации, далее получить криптоконтейнер и установить пароль для защиты криптоконтейнера. Криптоконтейнер – PFX-архив с сертификатом и закрытым ключом агента. Вы можете получить криптоконтейнер в консоли Kaspersky Anti Targeted Attack Platform (см. инструкцию в справке Kaspersky Anti Targeted Attack Platform). После настройки параметров Central Node вам нужно в параметрах Kaspersky Endpoint Security также включить функцию двусторонней аутентификации и загрузить защищенный паролем криптоконтейнер.
    Криптоконтейнер должен быть защищен паролем. Добавить криптоконтейнер с пустым паролем невозможно.
8. Нажмите на кнопку OK.
9. Добавьте серверы Central Node. Для этого укажите адрес сервера (IPv4, IPv6), а также порт подключения к серверу.
10. Если требуется, настройте параметры отправки телеметрии.
11. Сохраните внесенные изменения.
Вы также можете добавить TLS-сертификат локально из командной строки.

В результате компьютер будет добавлен в консоли Kaspersky Anti Targeted Attack Platform. Проверьте статус работы компонентов с помощью отчета Отчет о статусе компонентов приложения. Также вы можете посмотреть статус работы компонентов в локальном интерфейсе Kaspersky Endpoint Security в отчетах. В список компонентов Kaspersky Endpoint Security будут добавлены компоненты Endpoint Detection and Response (KATA) и Network Detection and Response (KATA).

Начиная с версии Kaspersky Endpoint Security для Windows 12.6 вы можете контролировать статус компонента EDR (KATA) в Консоли администрирования (MMC) Kaspersky Security Center. Текущий статус компонента отображается в свойствах компьютера в графе Статус Endpoint Sensor (значения Выполняется, Запускается, Остановлена, Приостановлена, Сбой, Нет данных от устройства). В Web Console статус Endpoint Sensor отсутствует.

В начало