دمج EDR Agent مع KATA (EDR)

يتم تثبيت EDR Agent على محطات العمل والخوادم في البنية التحتية لتكنولوجيا المعلومات الخاصة بالمؤسسة. وعلى أجهزة الكمبيوتر هذه، يراقب EDR Agent بشكل مستمر العمليات واتصالات الشبكة المفتوحة والملفات التي يتم تعديلها، ويرسل بيانات المراقبة إلى الخادم باستخدام مكون العقدة المركزية.

للتكامل مع EDR (KATA)، يجب عليك تمكين مكون Endpoint Detection and Response (KATA) وتكوين EDR Agent.‏

يجب استيفاء الشروط التالية لكي يعمل Endpoint Detection and Response (KATA):

• Kaspersky Anti Targeted Attack Platform الإصدار 4.1 أو أحدث.
• Kaspersky Security Center الإصدار 13.2 أو أحدث. في الإصدارات السابقة من Kaspersky Security Center، من المستحيل تفعيل ميزة Endpoint Detection and Response (KATA).‏

يتكون التكامل مع Endpoint Detection and Response (KATA) من الخطوات التالية:

1. تفعيل Endpoint Detection and Response (KATA)

   تحتاج إلى شراء ترخيص منفصل لمكون EDR (KATA) (الوظيفة الإضافية لمكون Kaspersky Endpoint Detection and Response (KATA)).‏

   ستتوفر الميزة بعد إضافة مفتاح منفصل لحل Kaspersky Endpoint Detection and Response (KATA). الترخيص لوظيفة Endpoint Detection and Response (KATA) المستقلة هو ترخيص Kaspersky Endpoint Security نفسه.‏

   تأكد من تضمين وظيفة EDR (KATA) في الترخيص وتشغيلها في الواجهة المحلية للتطبيق.‏

2. الاتصال بمكون Central Node

   يتطلب Kaspersky Anti Targeted Attack Platform إنشاء اتصال موثوق به بين Kaspersky Endpoint Security ومكوّن Central Node. لتكوين اتصال موثوق، يجب عليك استخدام شهادة TLS. ويمكنك الحصول على شهادة TLS في وحدة تحكم Kaspersky Anti Targeted Attack Platform (راجع الإرشادات في تعليمات Kaspersky Anti Targeted Attack Platform‏).‏ وبعد ذلك يجب عليك إضافة شهادة TLS إلى Kaspersky Endpoint Security (انظر الإرشادات أدناه).‏

   

   إضافة شهادة TLS إلى Kaspersky Endpoint Security

   بشكل افتراضي، يتحقق Kaspersky Endpoint Security فقط من شهادة TLS لمكون Central Node. ولجعل الاتصال أكثر أمانًا، يمكنك أيضًا تمكين التحقق من الكمبيوتر على مكون Central Node (المصادقة ثنائية الاتجاه). ولتمكين هذا التحقق، يجب عليك تشغيل المصادقة ثنائية الاتجاه في إعدادات Central Node وKaspersky Endpoint Security. ولاستخدام المصادقة ثنائية الاتجاه، ستحتاج أيضًا إلى حاوية تشفير. وحاوية التشفير هي أرشيف PFX مع شهادة ومفتاح خاص. ويمكنك الحصول على حاوية تشفير في Kaspersky Anti Targeted Attack Platform (راجع الإرشادات في تعليمات Kaspersky Anti Targeted Attack Platform‏).‏

   كيفية توصيل كمبيوتر Kaspersky Endpoint Security بمكون Central Node باستخدام وحدة تحكم الإدارة (MMC)

   1. افتح Kaspersky Security Center Administration Console.‏
   2. في شجرة وحدة التحكم، حدد السياسات.
   3. حدد السياسة اللازمة وانقر نقرًا مزدوجًا لفتح خصائص السياسة.
   4. في نافذة السياسة، حدد Detection and Response ← ‏Endpoint Detection and Response (KATA)‎.
   5. حدد خانة الاختيار Endpoint Detection and Response (KATA)‎.
   6. انقر على Settings for connecting to KATA servers.
   7. تكوين اتصال الخادم:
      • Timeout. الحد الأقصى لمهلة استجابة خادم Central Node. عندما تنتهي المهلة، يحاول Kaspersky Endpoint Security الاتصال بخادم Central Node مختلف.
      • Server TLS certificate. شهادة TLS لإنشاء اتصال موثوق به مع خادم Central Node. ويمكنك الحصول على شهادة TLS في وحدة تحكم Kaspersky Anti Targeted Attack Platform (راجع الإرشادات في تعليمات Kaspersky Anti Targeted Attack Platform‏).‏
      • Use two-way authentication. المصادقة ثنائية الاتجاه عند إنشاء اتصال آمن بين Kaspersky Endpoint Security وCentral Node. لاستخدام المصادقة ثنائية الاتجاه، تحتاج إلى تمكين المصادقة ثنائية الاتجاه في إعدادات Central Node، ثم الحصول على حاوية تشفير وتعيين كلمة مرور لحماية حاوية التشفير. وحاوية التشفير هي أرشيف PFX مع شهادة ومفتاح خاص. ويمكنك الحصول على حاوية تشفير في Kaspersky Anti Targeted Attack Platform (راجع الإرشادات في تعليمات Kaspersky Anti Targeted Attack Platform‏).‏ وبعد تكوين إعدادات Central Node، تحتاج أيضًا إلى تمكين المصادقة ثنائية الاتجاه في إعدادات Kaspersky Endpoint Security وتحميل حاوية تشفير محمية بكلمة مرور.‏

        يجب أن تكون حاوية التشفير محمية بكلمة مرور. ولا يمكن إضافة حاوية تشفير بكلمة مرور فارغة.

   8. انقر على OK.‏
   9. أضف خوادم العقدة المركزية. ولفعل ذلك، حدد عنوان الخادم (IPv4، ‏IPv6) والمنفذ للاتصال بالخادم.
   10. احفظ تغييراتك.

   كيفية توصيل كمبيوتر Kaspersky Endpoint Security بمكون Central Node باستخدام Web Console‏

   1. في النافذة الرئيسية لـ Web Console، حدد Devices ← Policies & profiles.
   2. انقر فوق اسم سياسة Kaspersky Endpoint Security.‏

      فتح نافذة خصائص السياسة.

   3. حدد علامة التبويب Application settings.
   4. انتقل إلى Detection and Response ‏← Endpoint Detection and Response (KATA).
   5. قم بتشغيل مفتاح Endpoint Detection and Response (KATA) ENABLED.
   6. انقر على Settings for connecting to KATA servers.
   7. تكوين اتصال الخادم:
      • Timeout. الحد الأقصى لمهلة استجابة خادم Central Node. عندما تنتهي المهلة، يحاول Kaspersky Endpoint Security الاتصال بخادم Central Node مختلف.
      • Server TLS certificate. شهادة TLS لإنشاء اتصال موثوق به مع خادم Central Node. ويمكنك الحصول على شهادة TLS في وحدة تحكم Kaspersky Anti Targeted Attack Platform (راجع الإرشادات في تعليمات Kaspersky Anti Targeted Attack Platform‏).‏
      • Use two-way authentication. المصادقة ثنائية الاتجاه عند إنشاء اتصال آمن بين Kaspersky Endpoint Security وCentral Node. لاستخدام المصادقة ثنائية الاتجاه، تحتاج إلى تمكين المصادقة ثنائية الاتجاه في إعدادات Central Node، ثم الحصول على حاوية تشفير وتعيين كلمة مرور لحماية حاوية التشفير. وحاوية التشفير هي أرشيف PFX مع شهادة ومفتاح خاص. ويمكنك الحصول على حاوية تشفير في Kaspersky Anti Targeted Attack Platform (راجع الإرشادات في تعليمات Kaspersky Anti Targeted Attack Platform‏).‏ وبعد تكوين إعدادات Central Node، تحتاج أيضًا إلى تمكين المصادقة ثنائية الاتجاه في إعدادات Kaspersky Endpoint Security وتحميل حاوية تشفير محمية بكلمة مرور.‏

        يجب أن تكون حاوية التشفير محمية بكلمة مرور. ولا يمكن إضافة حاوية تشفير بكلمة مرور فارغة.

   8. انقر على OK.
   9. أضف خوادم العقدة المركزية. ولفعل ذلك، حدد عنوان الخادم (IPv4، ‏IPv6) والمنفذ للاتصال بالخادم.
   10. احفظ تغييراتك.

   نتيجة لذلك، تمت إضافة الكمبيوتر إلى وحدة تحكم Kaspersky Anti Targeted Attack Platform. تحقق من حالة تشغيل المكون عن طريق عرض تقرير حالة مكونات التطبيق. ويمكنك أيضًا عرض حالة تشغيل أحد المكونات في التقارير في الواجهة المحلية لتطبيق Kaspersky Endpoint Security. وستتم إضافة مكون Endpoint Detection and Response (KATA)‎ إلى قائمة مكونات Kaspersky Endpoint Security.‏