Настройка совместной работы с EPP-приложениями
Kaspersky Industrial CyberSecurity for Networks может получать и обрабатывать данные, которые поступают от приложений "Лаборатории Касперского", выполняющих функции защиты рабочих станций и серверов. Эти приложения входят в состав системы защиты конечных устройств (англ. Endpoint Protection Platform, EPP) и устанавливаются на конечные устройства внутри IT-инфраструктуры организации.
Передачу данных от EPP-приложений осуществляют программные компоненты Endpoint Agent. В зависимости от версии поддерживаемого EPP-приложения функции Endpoint Agent может выполнять следующее программное обеспечение:
- программные модули, встроенные в EPP-приложение;
- программа Kaspersky Endpoint Agent.
Для установки соединений с Kaspersky Endpoint Agent на устройствах с устаревшими операционными системами (например, Windows 7) в Kaspersky Industrial CyberSecurity for Networks могут использоваться устаревшие и потенциально уязвимые протоколы и алгоритмы шифрования. Если в вашей сети отсутствуют устройства с устаревшими операционными системами или с такими устройствами не требуется устанавливать соединения, рекомендуется выключить использование устаревших и потенциально уязвимых протоколов и алгоритмов шифрования в Kaspersky Industrial CyberSecurity for Networks. Для получения дополнительной информации вы можете обратиться в Службу технической поддержки.
Максимальное количество компьютеров, от которых поддерживается получение и обработка данных от EPP-приложений – 1000.
Данные от компьютеров с программными компонентами Endpoint Agent поступают в Kaspersky Industrial CyberSecurity for Networks через серверы интеграции. Функции сервера интеграции может выполнять любой узел с установленным компонентом Kaspersky Industrial CyberSecurity for Networks (Сервер или сенсор). Для интеграции с Endpoint Agent вам нужно добавить серверы интеграции на те узлы, которые будут получать данные от компьютеров с Endpoint Agent.
Сервер интеграции может работать в режимах TCP и UDP. В зависимости от используемого режима функции сервера интеграции на узле Kaspersky Industrial CyberSecurity for Networks реализует один из следующих сервисов интеграции с EPP-приложениями:
- kics4net-epp-proxy, если для сервера интеграции включен режим TCP.
- kics4net-telemetry-proxy, если для сервера интеграции включен режим UDP.
На каждом сервере интеграции вы можете использовать режимы TCP и UDP как по отдельности, так и одновременно. Пакеты для установки сервисов входят в комплект поставки Kaspersky Industrial CyberSecurity for Networks.
В режиме TCP вы можете как получать данные от EPP-приложений, так и выполнять различные действия на устройствах с Endpoint Agent с использованием полученных данных от EPP-приложений. В режиме UDP данные от EPP-приложений отправляются без подтверждения приема по протоколу UDP. За счет односторонней передачи данных по протоколу UDP вы можете использовать режим UDP в тех случаях, когда компьютеры с Endpoint Agent передают данные на сервер интеграции через диод данных. При этом функциональные возможности при работе в режиме UDP сокращены по сравнению с режимом TCP.
В таблице ниже перечислены действия, доступные в зависимости от используемого режима.
Доступные действия при совместной работе с EPP-приложениями
Действие |
Режим TCP |
Режим UDP |
|---|---|---|
Регистрация событий по технологии EPP (события защиты рабочих станций и серверов) |
|
|
Добавление в таблицу устройств тех устройств, на которых установлены EPP-приложения (а также устройства, с которыми были двусторонние взаимодействия этих устройств) |
|
|
Обновление в таблице устройств сведений об устройствах, на которых установлены EPP-приложения (например, версия операционной системы, сведения о модели или производителе) |
|
|
Отображение на узлах карты сетевых взаимодействий и топологической карты специальных значков, обозначающих наличие EPP-приложений и состояния подключения этих приложений |
|
|
Регистрация сетевых сеансов |
|
|
Контроль оборудования на устройствах |
|
|
Контроль пользователей на устройствах |
|
|
Контроль приложений и патчей на устройствах |
|
|
Контроль конфигураций устройств |
|
|
Контроль запуска исполняемых файлов на устройствах |
|
|
Сканирование устройств в рамках заданий аудита настроек и уязвимостей и заданий контроля конфигураций |
|
|
Запуск действий по реагированию при регистрации событий по технологии EPP, если для этих событий построены цепочки развития угроз в Endpoint Agent |
|
|
Для ознакомления с функциональностью вы можете просмотреть обучающее видео (см. ниже).
Работа без копии сетевого трафика
Для защищенного соединения компьютеров с Endpoint Agent с серверами интеграции в режиме TCP используется протокол HTTPS поверх TCP. Для обеспечения безопасности соединений по протоколу HTTPS используются сертификаты, выданные Сервером Kaspersky Industrial CyberSecurity for Networks. В соединениях в режиме TCP могут использоваться следующие сертификаты:
- Сертификат сервера интеграции. Этот сертификат проверяет компьютер с Endpoint Agent при каждой установке соединения. Соединение не устанавливается до успешного завершения проверки сертификата.
- Сертификат клиента. Этот сертификат используется для аутентификации клиентов сервера интеграции, которыми являются компьютеры с Endpoint Agent. Один и тот же сертификат клиента может использоваться несколькими компьютерами с Endpoint Agent. По умолчанию сервер интеграции не выполняет проверку сертификатов клиентов, но вы можете ее включить для усиления защиты соединений.
Доставка сертификатов и открытых ключей на компьютеры с Endpoint Agent выполняется с помощью Kaspersky Security Center. Для загрузки этих данных в Kaspersky Security Center используется файл свертки, который нужно создать в Kaspersky Industrial CyberSecurity for Networks после добавления сервера интеграции.
При работе в режиме UDP защиту передаваемых данных можно обеспечить путем их шифрования. Шифрование данных выполняют компьютеры с Endpoint Agent. Создание ключей шифрования выполняется при настройке сервера интеграции. После настройки сервера интеграции необходимо создать файл свертки для ключа шифрования и загрузить его на компьютер с Endpoint Agent с помощью Kaspersky Security Center.
Настраивать получение данных от EPP-приложений могут только пользователи с ролью Администратор.