Интеграция с Kaspersky Anti Targeted Attack Platform

Приложение Kaspersky Endpoint Security совместимо с решением Kaspersky Anti Targeted Attack Platform, которое предназначено для защиты ИТ-инфраструктуры организации и своевременного обнаружения таких угроз, как атаки "нулевого дня", целевые атаки и сложные целевые атаки advanced persistent threats (далее также "APT"). Подробнее о решении см. в справке Kaspersky Anti Targeted Attack Platform.

Приложение Kaspersky Endpoint Security может интегрироваться со следующими компонентами на платформе Kaspersky Anti Targeted Attack Platform:

Kaspersky Endpoint Detection and Response (KATA). Компонент обеспечивает защиту устройств в локальной сети организации. При интеграции с Kaspersky Endpoint Detection and Response (KATA) приложение Kaspersky Endpoint Security может выполнять следующие функции:
- Отправлять данные о событиях на устройствах (телеметрию) на сервер с компонентом Central Node, обеспечивающий взаимодействие с Kaspersky Endpoint Detection and Response (KATA) (далее также сервер KATA). Приложение Kaspersky Endpoint Security передает на сервер с компонентом Central Node на платформе Kaspersky Anti Targeted Attack Platform данные наблюдения за процессами, открытыми сетевыми соединениями и изменяемыми файлами, а также данные об угрозах, обнаруженных приложением, и данные о результатах обработки этих угроз.
- Выполнять действия по реагированию, направленные на обеспечение функций безопасности, по командам, полученным от Kaspersky Anti Targeted Attack Platform.
Поддерживается интеграция с Kaspersky Endpoint Detection and Response (KATA) версии 7.1 и ниже.
Kaspersky Network Detection and Response (KATA). Компонент обеспечивает защиту внутренней сети предприятия. При интеграции с Kaspersky Network Detection and Response (KATA) приложение Kaspersky Endpoint Security может отправлять данные о событиях на устройствах (телеметрию) на сервер с компонентом Central Node, обеспечивающий взаимодействие с Kaspersky Network Detection and Response (KATA) (далее также сервер NDR).
Sandbox. Технология Sandbox позволяет выполнять на специальных серверах с развернутыми виртуальными образами операционных систем анализ и проверку объектов для выявления вредоносной активности и признаков целевых атак на ИТ-инфраструктуру организации. При интеграции приложения Kaspersky Endpoint Security с Sandbox на платформе Kaspersky Anti Targeted Attack Platform приложение отправляет файлы на проверку на сервер с компонентом Central Node, обеспечивающий взаимодействие с Sandbox.

Интеграцию с компонентами на платформе Kaspersky Anti Targeted Attack Platform обеспечивают следующие компоненты приложения Kaspersky Endpoint Security:

Компонент Endpoint Detection and Response Expert (on-premise) (далее также EDR Expert (on-premise)).
Начиная с версии Kaspersky Endpoint Security 12.4 для Linux компонент Endpoint Detection and Response (KATA) переименован в Endpoint Detection and Response Expert (on-premise). Теперь этот компонент обеспечивает интеграцию не только с Kaspersky Endpoint Detection and Response (KATA), компонентом Kaspersky Anti Targeted Attack Platform, но и с решением Kaspersky Endpoint Detection and Response Expert (on-premise).
Компонент Network Detection and Response (KATA) (далее также NDR (KATA)).
Компонент Sandbox.

Вы можете настроить интеграцию приложения Kaspersky Endpoint Security как со всеми компонентами решения Kaspersky Anti Targeted Attack Platform, так и с каждым компонентом по отдельности.

Во время интеграции с решением Kaspersky Anti Targeted Attack Platform устройства с Kaspersky Endpoint Security устанавливают защищенные соединения по протоколу HTTPS с серверами с компонентом Central Node, обеспечивающими интеграцию. Для обеспечения безопасности соединения используются следующие сертификаты, выданные серверами Central Node:

Сертификат сервера. Соединение шифруется с помощью TLS-сертификата сервера. Вы можете повысить уровень безопасности соединения, включив проверку сертификата сервера на стороне Kaspersky Endpoint Security. Для этого вам нужно добавить сертификат сервера перед включением интеграции с решением Kaspersky Anti Targeted Attack Platform.
Сертификат клиента. Этот сертификат используется для дополнительной защиты подключения с помощью двусторонней аутентификации (то есть проверки устройств с приложением Kaspersky Endpoint Security серверами Central Node). Один и тот же сертификат клиента может использоваться несколькими устройствами. По умолчанию сервер не выполняет проверку сертификатов клиентов, но двусторонняя аутентификация может быть включена на стороне Kaspersky Anti Targeted Attack Platform. В этом случае вам нужно включить двустороннюю аутентификацию в параметрах компонента EDR Expert (on-premise), NDR (KATA) или Sandbox и добавить сертификат клиента (криптоконтейнер с сертификатом и закрытым ключом).

Сертификаты для защиты соединения с серверами, обеспечивающими взаимодействие с компонентами решения Kaspersky Anti Targeted Attack Platform, предоставляет администратор Kaspersky Anti Targeted Attack Platform.

Если в общих параметрах приложения Kaspersky Endpoint Security настроено использование прокси-сервера, то для подключения к серверам, обеспечивающими взаимодействие с компонентами решения Kaspersky Anti Targeted Attack Platform, используется прокси-сервер.

Чтобы использовать функциональность Kaspersky Endpoint Detection and Response (KATA), вам нужно активировать компонент EDR Expert (on-premise). Если основная лицензия, по которой вы используете приложение Kaspersky Endpoint Security, не включает функциональность Kaspersky Endpoint Detection and Response Expert (on-premise), вам нужно приобрести отдельную лицензию для этой функциональности и добавить в приложение лицензионный ключ EDR Expert (on-premise).

Если приложение Kaspersky Endpoint Security используется в режиме Легкого агента для защиты виртуальных сред, активация выполняется на стороне Сервера защиты (компонента решения Kaspersky Security для виртуальных сред Легкий агент) путем добавления лицензионных ключей на SVM.

Интеграция с компонентами решения Kaspersky Endpoint Detection and Response (KATA) и Kaspersky Network Detection and Response (KATA) состоит из следующих этапов:

Включение необходимых компонентов Kaspersky Endpoint Security
Компоненты EDR Expert (on-premise) и NDR (KATA) могут использовать данные, полученные от следующих компонентов:
Для полноценной интеграции приложения Kaspersky Endpoint Security с Kaspersky Anti Targeted Attack Platform требуется включить компонент Анализ поведения. Если Анализ поведения выключен, необходимые данные телеметрии не передаются (кроме запросов на синхронизацию и данных об обнаружении угроз от других компонентов защиты).

При использовании механизма eBPF для получения системной телеметрии в компоненте Анализ поведения (доступный на 64-битных операционных системах с версией ядра 4.18 и выше с поддержкой eBPF) данные телеметрии будут более полными.
Активация компонента EDR Expert (on-premise)
Для интеграции с Kaspersky Endpoint Detection and Response (KATA) вам нужно активировать компонент EDR Expert (on-premise). Убедитесь, что соблюдено одно из следующих условий:
- Вы используете приложение Kaspersky Endpoint Security по лицензии, которая включает в себя функциональность Kaspersky Endpoint Detection and Response Expert (on-premise).
- Вы приобрели отдельную лицензию на использование функциональности Kaspersky Endpoint Detection and Response Expert (on-premise) и добавили в приложение лицензионный ключ EDR Expert (on-premise).
  Если приложение Kaspersky Endpoint Security используется в режиме Легкого агента для защиты виртуальных сред, лицензионный ключ для активации дополнительной функциональности добавляется на SVM.
Активировать компонент NDR (KATA) не требуется, основные лицензии Kaspersky Endpoint Security включают в себя функциональность интеграции с Kaspersky Network Detection and Response (KATA).
Включение компонента EDR Expert (on-premise)
По умолчанию интеграция с Kaspersky Endpoint Detection and Response (KATA) выключена. Для включения интеграции вам нужно включить компонент EDR Expert (on-premise) и настроить его параметры:
Если вы используете Web Console или командную строку, для интеграции с Kaspersky Endpoint Detection and Response (KATA) вам нужно выбрать режим интеграции EDR (KATA) в параметрах компонента EDR Expert (on-premise). Если вы используете Web Console, в параметрах политики выберите вариант Endpoint Detection and Response Expert (версия 7.1 и ниже). Если вы используете командную строку, в параметрах задачи установите значение параметра Mode=EDRKATA.

Если вы хотите использовать функциональность запрета запуска объектов, вы можете включить применение правил запрета запуска объектов компонента EDR Expert (on-premise).
Включение компонента NDR (KATA)
По умолчанию интеграция с Kaspersky Network Detection and Response (KATA) выключена. Для включения интеграции вам нужно включить компонент NDR (KATA) и настроить его параметры:

Вы можете проверить статус работы компонентов EDR Expert (on-premise) и NDR (KATA):

C помощью Отчета о статусе компонентов приложения в Web Console.
Подробную информацию о работе с отчетами см. в справке Kaspersky Security Center.
В свойствах устройства в Web Console (Активы (Устройства) → Управляемые устройства → ссылка <имя устройства> → Приложения → ссылка <название приложения Kaspersky Endpoint Security> → Общие → Компоненты).
С помощью командной строки, выполнив команду kesl-control --app-info.

В этом разделе

Настройка интеграции с Kaspersky Endpoint Detection and Response (KATA) в Web Console

Настройка интеграции с Kaspersky Endpoint Detection and Response (KATA) в Консоли администрирования

Настройка интеграции с Kaspersky Endpoint Detection and Response (KATA) в командной строке

Настройка интеграции с Kaspersky Network Detection and Response (KATA) в Web Console

Настройка интеграции с Kaspersky Network Detection and Response (KATA) в Консоли администрирования

Настройка интеграции с Kaspersky Network Detection and Response (KATA) в командной строке

В начало