Guía de migración de KEA a KES para EDR (KATA)

A partir de la versión 12.1, Kaspersky Endpoint Security para Windows incluye un agente integrado para administrar el componente Kaspersky Endpoint Detection and Response como parte de la solución Kaspersky Anti Targeted Attack Platform. Ya no necesita una aplicación diferente de Kaspersky Endpoint Agent para trabajar con EDR (KATA). Kaspersky Endpoint Security realizará todas las funciones de Kaspersky Endpoint Agent. La carga en los servidores de Kaspersky Anti Targeted Attack Platform seguirá siendo la misma.

Al desplegar Kaspersky Endpoint Security en equipos que tienen Kaspersky Endpoint Agent instalado, la solución Kaspersky Anti Targeted Attack Platform (EDR) seguirá funcionando con Kaspersky Endpoint Security. Además, Kaspersky Endpoint Agent se eliminará del equipo. El mismo comportamiento en el sistema ocurrirá cuando actualice Kaspersky Endpoint Security a la versión 12.1 o superior.

Kaspersky Endpoint Security no es compatible con Kaspersky Endpoint Agent. No puede instalar ambas aplicaciones en el mismo equipo.

Se deben cumplir las siguientes condiciones para que Kaspersky Endpoint Security funcione como parte de Endpoint Detection and Response (KATA):

• Kaspersky Anti Targeted Attack Platform versión 4.1 o superior.
• Kaspersky Security Center versión 13.2 o superior (incluido el Agente de red). En versiones anteriores de Kaspersky Security Center, no es posible activar la funcionalidad de Endpoint Detection and Response (KATA).

Pasos para migrar la configuración de [KES+KEA] a [KES+agente integrado] para EDR (KATA)

1. Actualizar el Complemento de administración de Kaspersky Endpoint Security

   El componente EDR (KATA) se puede administrar con el Complemento de administración de Kaspersky Endpoint Security, versión 12.1 o superior. Según el tipo de consola de Kaspersky Security Center que esté utilizando, actualice el complemento de administración en la Consola de administración (MMC) o el complemento web en Web Console.

2. Migrar directivas y tareas

   Transfiera la configuración de Kaspersky Endpoint Agent a Kaspersky Endpoint Security para Windows. Están disponibles los siguientes opciones:

   • Un asistente para migrar de Kaspersky Endpoint Agent a Kaspersky Endpoint Security. Un asistente para migrar de Kaspersky Endpoint Agent a Kaspersky Endpoint Security solo funciona en Web Console.

     Cómo migrar la configuración de directivas y tareas de Kaspersky Endpoint Agent a Kaspersky Endpoint Security en Web Console

     En la ventana principal de Web Console, seleccione Operaciones → Migración desde Kaspersky Endpoint Agent.

     Esto ejecuta el asistente de migración de directivas y tareas. Siga las instrucciones del Asistente.

     Paso 1. Migración de directivas

     El Asistente de migración crea una directiva nueva que combina las configuraciones de las directivas de Kaspersky Endpoint Security y Kaspersky Endpoint Agent. En la lista de directivas, seleccione las directivas de Kaspersky Endpoint Agent cuyas configuraciones desee unir con la directiva de Kaspersky Endpoint Security. Haga clic en una directiva de Kaspersky Endpoint Agent para seleccionar la directiva de Kaspersky Endpoint Security con la que desea unir la configuración. Asegúrese de que haya seleccionado las directivas correctas y vaya al siguiente paso.

     Paso 2. Migración de tareas

     El asistente de migración no admite tareas de EDR (KATA). Omita este paso.

     Paso 3: Fin del asistente

     Salga del Asistente. Como resultado del asistente, se creará una nueva directiva de Kaspersky Endpoint Security. La directiva une la configuración de Kaspersky Endpoint Security y Kaspersky Endpoint Agent. La directiva se denomina <nombre de la directiva de Kaspersky Endpoint Security> y <nombre de la directiva de Kaspersky Endpoint Agent>. La directiva nueva tiene el estado Inactivo. Para continuar, cambie los estados de las directivas de Kaspersky Endpoint Agent y Kaspersky Endpoint Security a Inactivo y active la directiva nueva y combinada.

     El asistente de migración de Web Console omite las siguientes configuraciones de directivas y no las migra:

     • Prohibición de modificar la configuración Configuración para establecer la conexión a los servidores KATA ("candado").

       De forma predeterminada, la configuración se puede modificar (el "candado" está abierto). Por lo tanto, la configuración no se aplica en el equipo. Debe prohibir la modificación de la configuración y cerrar el "candado".

     • Contenedor criptográfico.

       Si está utilizando la autenticación bidireccional para conectarse a los servidores del Nodo Central, debe volver a agregar el contenedor criptográfico.

     Como el Asistente de migración no migra esta configuración, es posible que encuentre errores al conectar el equipo a los servidores del Nodo central. Para corregir los errores, debe ir a las propiedades de la directiva y configurar los ajustes de conexión.

   • Un asistente de conversión por lotes de directivas y tareas estándar. El asistente de conversión por lotes de directivas y tareas solo está disponible en la Consola de administración (MMC). Para obtener más detalles sobre el asistente de conversión por lotes de directivas y tareas, consulte la Ayuda de Kaspersky Security Center.

   Para asegurarse de que Kaspersky Endpoint Security funciona correctamente en los servidores, se recomienda agregar archivos importantes para el funcionamiento del servidor a la zona de confianza. Para servidores SQL, debe agregar archivos de base de datos MDF y LDF. Para servidores de Microsoft Exchange, debe agregar archivos CHK, EDB, JRS, LOG y JSL. Puede usar máscaras; por ejemplo, C:\Program Files (x86)\Microsoft SQL Server\*.mdf.

   Las exclusiones de telemetría de EDR no migran de la directiva de Kaspersky Endpoint Agent a la directiva de Kaspersky Endpoint Security. Kaspersky Endpoint Security tiene sus propias herramientas de exclusión: aplicaciones de confianza. El funcionamiento de Kaspersky Endpoint Security está optimizado para que la ausencia de exclusiones de telemetría de EDR individuales no provoquen una carga adicional en el equipo en comparación con Kaspersky Endpoint Agent. Kaspersky Endpoint Security usa telemetría no solo para EDR (KATA), sino también para el funcionamiento de los componentes de protección de la aplicación. Por tanto, no es necesario transferir exclusiones de telemetría de EDR individuales. Si experimenta una disminución del rendimiento del equipo, compruebe el funcionamiento de la aplicación (consulte el paso 7 Comprobación del rendimiento).

3. Licencia de la funcionalidad EDR (KATA)

   Para activar Kaspersky Endpoint Security como parte de la solución Kaspersky Anti Targeted Attack Platform, necesita una licencia independiente para el complemento Kaspersky Endpoint Detection and Response (KATA). Puede añadir la clave con la tarea Añadir clave. Como resultado, se añadirán dos claves a la aplicación: Kaspersky Endpoint Security y Kaspersky Endpoint Detection and Response (KATA).

   La licencia del complemento Kaspersky Endpoint Detection and Response (KATA) en equipos con funciones EDR Optimum o EDR Expert previamente activadas implica las siguientes consideraciones especiales:

   • Si está utilizando un archivo clave para la licencia de Kaspersky Endpoint Security con las funciones EDR Optimum o EDR Expert, no puede añadir una clave aparte para el complemento Kaspersky Endpoint Detection and Response (KATA). Puede pasar a usar un código de activación para la licencia o ponerse en contacto con su proveedor de servicios para obtener un nuevo archivo clave para activar las funciones de Kaspersky Endpoint Security y EDR. El proveedor de servicios proporcionará uno o más archivos clave para la licencia.
   • Si está utilizando un archivo clave para la licencia de Kaspersky Endpoint Security sin las funciones EDR Optimum o EDR Expert, puede añadir una clave aparte para el complemento Kaspersky Endpoint Detection and Response (KATA) sin tener que volver a emitir los archivos clave.
   • Si está utilizando un código de activación para la concesión de licencias, el servidor de activación de Kaspersky volverá a emitir automáticamente las claves y las funciones de EDR (KATA) estarán disponibles automáticamente. En este caso, EDR Optimum y EDR Expert estarán desactivadas.
   • Kaspersky Endpoint Security le permite agregar hasta dos claves activas: clave de Kaspersky Endpoint Security y clave de tipo complemento. También puede agregar hasta dos claves de reserva. Una clave de reserva de Kaspersky Endpoint Security y una clave de reserva de tipo complemento.
4. Instalar o actualizar la aplicación Kaspersky Endpoint Security

   Para migrar la funcionalidad EDR (KATA) durante la instalación o actualización de una aplicación, se recomienda utilizar la tarea de instalación remota. Al crear una tarea de instalación remota, debe seleccionar el componente EDR (KATA) en la configuración del paquete de instalación.

   También puede actualizar la aplicación con los siguientes métodos:

   • Usar el servicio de actualización de Kaspersky.
   • De forma local, utilizando el Asistente de instalación.

   Kaspersky Endpoint Security admite la selección automática de componentes al actualizar la aplicación en un equipo con la aplicación Kaspersky Endpoint Agent instalada. La selección automática de componentes depende de los permisos de la cuenta de usuario que está actualizando la aplicación.

   Si está actualizando Kaspersky Endpoint Security con el archivo EXE o MSI en la cuenta del sistema (SYSTEM), Kaspersky Endpoint Security obtiene acceso a las licencias actuales de las soluciones de Kaspersky. Por lo tanto, si el equipo tiene Kaspersky Endpoint Agent instalado y la solución EDR (KATA) activada, el instalador de Kaspersky Endpoint Security configura automáticamente el conjunto de componentes y selecciona el componente EDR (KATA). Esto hace que Kaspersky Endpoint Security pase a utilizar el agente incorporado y elimina el Agente de Kaspersky Endpoint. La ejecución del instalador MSI con la cuenta del sistema (SYSTEM) se realiza normalmente cuando se actualiza a través del servicio de actualización de Kaspersky o cuando se despliega un paquete de instalación a través de Kaspersky Security Center.

   Si está actualizando Kaspersky Endpoint Security con un archivo MSI en una cuenta de usuario sin privilegios, Kaspersky Endpoint Security no tendrá acceso a las licencias actuales de las soluciones de Kaspersky. En este caso, Kaspersky Endpoint Security selecciona automáticamente los componentes basándose en un conjunto de componentes de Kaspersky Endpoint Agent. Tras esto, Kaspersky Endpoint Security pasa a utilizar el agente integrado y elimina el Agente de Kaspersky Endpoint.

   Kaspersky Endpoint Security admite la actualización sin reiniciar el equipo. Puede seleccionar el modo de actualización de la aplicación en las propiedades de la directiva.

5. Comprobación del funcionamiento de la aplicación

   Si, tras instalar o actualizar la aplicación, el equipo tiene el estado Crítico en la consola de Kaspersky Security Center, haga lo siguiente:

   • Asegúrese de que el equipo tenga la versión del Agente de red 13.2 o superior instalada.
   • Consulte informe de estado de los componentes de la aplicación para verificar el estado operativo del agente integrado. Si un componente tiene el estado No instalado, instale el componente con la tarea Cambiar componentes de la aplicación. Si un componente tiene el estado No está alcanzado por la licencia, asegúrese de haber activado la funcionalidad de agente integrado.
   • Asegúrese de aceptar la Declaración de Kaspersky Security Network en la directiva nueva de Kaspersky Endpoint Security para Windows.
6. Comprobación de la conexión al servidor de Kaspersky Anti Targeted Attack Platform

   Compruebe la conexión al servidor de Kaspersky Anti Targeted Attack Platform. Para ello:

   1. Compruebe que dispone de un certificado válido.
   2. Compruebe los ajustes de conexión del servidor.
   3. Compruebe el registro de eventos.

      Si se establece una conexión al servidor, la aplicación envía el evento Conexión correcta con el servidor de Kaspersky Anti Targeted Attack Platform. Si no hay ningún evento de conexión correcto y no hay eventos con errores de conexión, compruebe la configuración del registro de eventos y active el envío de eventos para Endpoint Detection and Response (KATA).

   El estado de conexión del servidor no afecta al estado del equipo en la consola de Kaspersky Security Center. Por tanto, si no hay conexión al servidor, el equipo sigue pudiendo tener el estado Sin inconvenientes. Compruebe el registro de eventos para verificar la conexión al servidor.

7. Comprobación del rendimiento

   Si el rendimiento del equipo se ha ralentizado después de instalar o actualizar una aplicación, puede optimizar la transferencia de datos. Para ello:

   1. Desactive el componente EDR (KATA) y verifique que la degradación del rendimiento se deba a EDR (KATA).
   2. Para aplicaciones de confianza, desactive la recopilación de telemetría en las operaciones de entrada de la consola (activada de forma predeterminada).
   3. Agregue aplicaciones que reduzcan el rendimiento del equipo a la lista de aplicaciones de confianza.
   4. Póngase en contacto con el soporte técnico de Kaspersky. Los expertos de soporte le ayudarán a configurar el filtrado de telemetría en Kaspersky Anti Targeted Attack Platform. Esto reducirá la cantidad de tráfico. Si el rendimiento de su equipo se ve afectado por una determinada aplicación, adjunte el paquete de distribución de esa aplicación a la solicitud.