Integration des EDR-Agenten in KATA (EDR)

Der EDR-Agent wird auf Workstations und Servern in der IT-Infrastruktur des Unternehmens installiert. Auf diesen Computern überwacht der EDR-Agent kontinuierlich Prozesse, offene Netzwerkverbindungen und geänderte Dateien und sendet über die Central Node-Komponente Überwachungsdaten an den Server.

Für die Integration in EDR (KATA) müssen Sie die Endpoint Detection and Response-Komponente (KATA) aktivieren und den EDR-Agenten konfigurieren.

Damit „Endpoint Detection and Response“ (KATA) funktioniert, müssen die folgenden Bedingungen erfüllt sein:

• Kaspersky Anti Targeted Attack Platform Version 4.1 oder höher.
• Kaspersky Security Center Version 13.2 oder höher. In älteren Versionen von Kaspersky Security Center kann die Funktion „Endpoint Detection and Response“ (KATA) nicht aktiviert werden.

Die Integration in Endpoint Detection and Response (KATA) umfasst die folgenden Schritte:

1. Aktivieren von Endpoint Detection and Response (KATA)

   Sie müssen eine separate Lizenz für EDR (KATA) kaufen (Add-on für Kaspersky Endpoint Detection and Response (KATA)).

   Die Funktion ist verfügbar, sobald Sie einen separaten Schlüssel für Kaspersky Endpoint Detection and Response (KATA) hinzufügen. Die Lizenzverwaltung für die eigenständige Funktionalität von Endpoint Detection and Response (KATA) entspricht der Lizenzverwaltung für Kaspersky Endpoint Security.

   Stellen Sie sicher, dass die Funktionalität von EDR (KATA) in der Lizenz enthalten ist und in der lokalen App-Oberfläche ausgeführt wird.

2. Verbindung zu Central Node

   Kaspersky Anti Targeted Attack Platform erfordert eine vertrauenswürdige Verbindung zwischen Kaspersky Endpoint Security und der Komponente Central Node. Zur Konfiguration einer vertrauenswürdigen Verbindung müssen Sie ein TLS-Zertifikat verwenden. Ein TLS-Zertifikat können Sie in der Konsole von Kaspersky Anti Targeted Attack Platform anfordern (siehe Anleitung in der Hilfe zu Kaspersky Anti Targeted Attack Platform). Anschließend müssen Sie das TLS-Zertifikat zu Kaspersky Endpoint Security hinzufügen (siehe Anleitung unten).

   

   TLS-Zertifikat zu Kaspersky Endpoint Security hinzufügen

   Standardmäßig überprüft Kaspersky Endpoint Security nur das TLS-Zertifikat des Central Node. Um die Verbindung sicherer zu machen, können Sie zusätzlich die Überprüfung des Computers auf dem Central Node (Zwei-Wege-Authentifizierung) aktivieren. Zum Aktivieren dieser Überprüfung müssen Sie die Zwei-Wege-Authentifizierung in den Einstellungen von Central Node und Kaspersky Endpoint Security aktivieren. Zur Verwendung der Zwei-Wege-Authentifizierung benötigen Sie außerdem einen Krypto-Container. Ein Krypto-Container ist ein PFX-Archiv mit einem Zertifikat und einem privaten Schlüssel. Einen Krypto-Container können Sie in der Konsole von Kaspersky Anti Targeted Attack Platform anfordern (siehe Anleitung in der Hilfe zu Kaspersky Anti Targeted Attack Platform).

   So verbinden Sie einen Computer, auf dem Kaspersky Endpoint Security installiert ist, über die Verwaltungskonsole (MMC) mit Central Node

   1. Öffnen Sie die Verwaltungskonsole von Kaspersky Security Center.
   2. Wählen Sie in der Konsolenstruktur den Punkt Richtlinien aus.
   3. Wählen Sie die gewünschte Richtlinie aus und öffnen Sie mit einem Doppelklick das Fenster mit den Richtlinieneigenschaften.
   4. Wählen Sie im Richtlinienfenster Detection and Response → Endpoint Detection and Response (KATA) aus.
   5. Aktivieren Sie das Kontrollkästchen Endpoint Detection and Response (KATA).
   6. Klicken Sie auf Einstellungen der Verbindung zu KATA-Servern.
   7. Konfigurieren Sie die Serververbindung:
      • Timeout. Maximale Zeitüberschreitung für die Antwort von Central Node. Nach Ablauf des Timeouts versucht Kaspersky Endpoint Security, sich mit einem anderen Central Node-Server zu verbinden.
      • TLS-Serverzertifikat. TLS-Zertifikat zum Herstellen einer vertrauenswürdigen Verbindung mit dem Central Node-Server. Ein TLS-Zertifikat können Sie in der Konsole von Kaspersky Anti Targeted Attack Platform anfordern (siehe Anleitung in der Hilfe zu Kaspersky Anti Targeted Attack Platform).
      • Zwei-Wege-Authentifizierung verwenden. Zwei-Wege-Authentifizierung beim Aufbau einer sicheren Verbindung zwischen Kaspersky Endpoint Security und Central Node. Um die Zwei-Wege-Authentifizierung zu verwenden, müssen Sie die Zwei-Wege-Authentifizierung in den Central Node-Einstellungen aktivieren, dann einen Krypto-Container anfordern und ein Kennwort festlegen, um den Krypto-Container zu schützen. Ein Krypto-Container ist ein PFX-Archiv mit einem Zertifikat und einem privaten Schlüssel. Einen Krypto-Container können Sie in der Konsole von Kaspersky Anti Targeted Attack Platform anfordern (siehe Anleitung in der Hilfe zu Kaspersky Anti Targeted Attack Platform). Nachdem Sie die Central Node-Einstellungen konfiguriert haben, müssen Sie die Zwei-Wege-Authentifizierung in den Einstellungen von Kaspersky Endpoint Security aktivieren und einen kennwortgeschützten Krypto-Container laden.

        Der Krypto-Container muss kennwortgeschützt sein. Ein Krypto-Container mit einem leeren Passwort kann nicht hinzugefügt werden.

   8. Klicken Sie auf OK.
   9. Fügen Sie Central Node-Server hinzu. Geben Sie dazu die Serveradresse (IPv4, IPv6) und den Port für die Serververbindung an.
   10. Speichern Sie die vorgenommenen Änderungen.

   So verbinden Sie einen Computer, auf dem Kaspersky Endpoint Security installiert ist, über die Web Console mit Central Node

   1. Wählen Sie im „Web Console“-Hauptfenster den Punkt Geräte → Richtlinien und Profile aus.
   2. Klicken Sie auf den Namen der Richtlinie von Kaspersky Endpoint Security.

      Das Fenster mit den Richtlinieneigenschaften wird geöffnet.

   3. Wählen Sie die Registerkarte Programmeinstellungen aus.
   4. Gehen Sie zu Detection and Response → Endpoint Detection and Response (KATA).
   5. Aktivieren Sie den Schalter Endpoint Detection and Response (KATA) AKTIVIERT.
   6. Klicken Sie auf Einstellungen der Verbindung zu KATA-Servern.
   7. Konfigurieren Sie die Serververbindung:
      • Timeout. Maximale Zeitüberschreitung für die Antwort von Central Node. Nach Ablauf des Timeouts versucht Kaspersky Endpoint Security, sich mit einem anderen Central Node-Server zu verbinden.
      • TLS-Serverzertifikat. TLS-Zertifikat zum Herstellen einer vertrauenswürdigen Verbindung mit dem Central Node-Server. Ein TLS-Zertifikat können Sie in der Konsole von Kaspersky Anti Targeted Attack Platform anfordern (siehe Anleitung in der Hilfe zu Kaspersky Anti Targeted Attack Platform).
      • Zwei-Wege-Authentifizierung verwenden. Zwei-Wege-Authentifizierung beim Aufbau einer sicheren Verbindung zwischen Kaspersky Endpoint Security und Central Node. Um die Zwei-Wege-Authentifizierung zu verwenden, müssen Sie die Zwei-Wege-Authentifizierung in den Central Node-Einstellungen aktivieren, dann einen Krypto-Container anfordern und ein Kennwort festlegen, um den Krypto-Container zu schützen. Ein Krypto-Container ist ein PFX-Archiv mit einem Zertifikat und einem privaten Schlüssel. Einen Krypto-Container können Sie in der Konsole von Kaspersky Anti Targeted Attack Platform anfordern (siehe Anleitung in der Hilfe zu Kaspersky Anti Targeted Attack Platform). Nachdem Sie die Central Node-Einstellungen konfiguriert haben, müssen Sie die Zwei-Wege-Authentifizierung in den Einstellungen von Kaspersky Endpoint Security aktivieren und einen kennwortgeschützten Krypto-Container laden.

        Der Krypto-Container muss kennwortgeschützt sein. Ein Krypto-Container mit einem leeren Passwort kann nicht hinzugefügt werden.

   8. Klicken Sie auf OK.
   9. Fügen Sie Central Node-Server hinzu. Geben Sie dazu die Serveradresse (IPv4, IPv6) und den Port für die Serververbindung an.
   10. Speichern Sie die vorgenommenen Änderungen.

   Dadurch wird der Computer zur Kaspersky Anti Targeted Attack Platform-Konsole hinzugefügt. Überprüfen Sie den Betriebsstatus der Komponente, indem Sie sich den Bericht über den Status der Programmkomponenten ansehen. Den Betriebsstatus einer Komponente können Sie auch den Berichten in der lokalen Benutzeroberfläche von Kaspersky Endpoint Security entnehmen. Die Komponente Endpoint Detection and Response (KATA) wir zur Liste der Kaspersky Endpoint Security-Komponenten hinzugefügt.