Интеграция с Kaspersky Endpoint Detection and Response Expert (on-premise)

Kaspersky Endpoint Detection and Response Expert (on-premise) – решение для кибербезопасности бизнеса, позволяющее защититься от большинства киберрисков и покрыть основные сценарии распространения угроз. Компоненты Kaspersky Endpoint Detection and Response Expert (on-premise) развертываются на единой платформе управления Open Single Management Platform (OSMP). Подробнее о решении и платформе см. в справке Kaspersky Endpoint Detection and Response Expert (on-premise).

При интеграции с Kaspersky Endpoint Detection and Response Expert (on-premise) приложение Kaspersky Endpoint Security может выполнять следующие функции:

• Отправлять данные о событиях на устройствах (телеметрию) на сервер сбора телеметрии на платформе OSMP (далее также сервер сбора телеметрии OSMP). Приложение Kaspersky Endpoint Security передает на сервер сбора телеметрии данные наблюдения за процессами, открытыми сетевыми соединениями и изменяемыми файлами, а также данные об угрозах, обнаруженных приложением, и данные о результатах обработки этих угроз.
• Выполнять действия по реагированию, направленные на обеспечение функций безопасности, по командам, полученным от сервера действий по реагированию на платформе OSMP (далее также сервер действий по реагированию OSMP).

Интеграцию с решением Kaspersky Endpoint Detection and Response Expert (on-premise) обеспечивает компонент приложения Kaspersky Endpoint Security – Endpoint Detection and Response Expert (on-premise) (далее также EDR Expert (on-premise)).

Во время интеграции с решением Kaspersky Endpoint Detection and Response Expert (on-premise) устройства с Kaspersky Endpoint Security устанавливают защищенные соединения по протоколу HTTPS с сервером действий по реагированию OSMP и с сервером сбора телеметрии OSMP. Для обеспечения безопасности соединения используются следующие сертификаты, выданные серверами OSMP:

• Сертификат сервера. Соединение шифруется с помощью TLS-сертификата сервера. Вы можете повысить уровень безопасности соединения, включив проверку сертификата сервера на стороне Kaspersky Endpoint Security. Для этого вам нужно добавить сертификат сервера перед включением интеграции с решением Kaspersky Endpoint Detection and Response Expert (on-premise).
• Сертификат клиента. Этот сертификат используется для дополнительной защиты подключения с помощью двусторонней аутентификации (то есть проверки устройств с приложением Kaspersky Endpoint Security серверами OSMP). Один и тот же сертификат клиента может использоваться несколькими устройствами. По умолчанию сервер не выполняет проверку сертификатов клиентов, но двусторонняя аутентификация может быть включена на стороне Kaspersky Endpoint Detection and Response Expert (on-premise). В этом случае вам нужно включить двустороннюю аутентификацию в параметрах компонента EDR Expert (on-premise) и добавить сертификат клиента (криптоконтейнер с сертификатом и закрытым ключом).

Сертификаты для защиты соединения с серверами OSMP предоставляет администратор платформы OSMP.

Если в общих параметрах приложения Kaspersky Endpoint Security настроено использование прокси-сервера, то для подключения к серверам OSMP используется прокси-сервер.

Чтобы использовать функциональность Kaspersky Endpoint Detection and Response Expert (on-premise), вам нужно активировать компонент EDR Expert (on-premise). Если основная лицензия, по которой вы используете приложение Kaspersky Endpoint Security, не включает функциональность Kaspersky Endpoint Detection and Response Expert (on-premise), вам нужно приобрести отдельную лицензию для этой функциональности и добавить в приложение лицензионный ключ EDR Expert (on-premise).

Если приложение Kaspersky Endpoint Security используется в режиме Легкого агента для защиты виртуальных сред, активация выполняется на стороне Сервера защиты (компонента решения Kaspersky Security для виртуальных сред Легкий агент) путем добавления лицензионных ключей на SVM.

Интеграция с Kaspersky Endpoint Detection and Response Expert (on-premise) состоит из следующих этапов:

1. Включение необходимых компонентов Kaspersky Endpoint Security

   Компонент EDR Expert (on-premise) может использовать данные, полученные от следующих компонентов:

   • Защита от файловых угроз.
   • Защита от сетевых угроз.
   • Защита от веб-угроз.
   • Защита от шифрования.
   • Контроль приложений.
   • Контроль устройств.
   • Контроль целостности системы.

   Для полноценной интеграции приложения Kaspersky Endpoint Security с Kaspersky Endpoint Detection and Response Expert (on-premise) требуется включить компонент Анализ поведения. Если Анализ поведения выключен, необходимые данные телеметрии не передаются (кроме запросов на синхронизацию и данных об обнаружении угроз от других компонентов защиты).

   При использовании механизма eBPF для получения системной телеметрии в компоненте Анализ поведения (доступный на 64-битных операционных системах с версией ядра 5.3 и выше с поддержкой eBPF) данные телеметрии будут более полными.

2. Активация компонента EDR Expert (on-premise)

   Убедитесь, что соблюдено одно из следующих условий:

   • Вы используете приложение Kaspersky Endpoint Security по лицензии, которая включает в себя функциональность Kaspersky Endpoint Detection and Response Expert (on-premise).
   • Вы приобрели отдельную лицензию на использование функциональности Kaspersky Endpoint Detection and Response Expert (on-premise) и добавили в приложение лицензионный ключ EDR Expert (on-premise).

     Если приложение Kaspersky Endpoint Security используется в режиме Легкого агента для защиты виртуальных сред, лицензионный ключ для активации дополнительной функциональности добавляется на SVM.

3. Включение компонента EDR Expert (on-premise)

   По умолчанию интеграция с Kaspersky Endpoint Detection and Response Expert (on-premise) выключена. Для включения интеграции вам нужно включить компонент EDR Expert (on-premise) и настроить его параметры:

   • С помощью Kaspersky Security Center Web Console.
   • С помощью командной строки.

   Настройка интеграции с Kaspersky Endpoint Detection and Response Expert (on-premise) в Консоли администрирования Kaspersky Security Center не поддерживается.

   Для интеграции с Kaspersky Endpoint Detection and Response Expert (on-premise) вам нужно выбрать режим интеграции EDR Expert (OSMP) в параметрах компонента EDR Expert (on-premise). Если вы используете Web Console, в параметрах политики выберите вариант Endpoint Detection and Response Expert (версия 8.0 и выше). Если вы используете командную строку, в параметрах задачи установите значение параметра Mode=EDRExpertOnPrem.

   Если вы хотите использовать функциональность запрета запуска объектов, вы можете включить применение правил запрета запуска объектов компонента EDR Expert (on-premise).

Вы можете проверить статус работы компонента EDR Expert (on-premise):

• C помощью Отчета о статусе компонентов приложения в Web Console.

  Подробную информацию о работе с отчетами см. в справке Kaspersky Security Center.

• В свойствах устройства в Web Console (Активы (Устройства) → Управляемые устройства → ссылка <имя устройства> → Приложения → ссылка <название приложения Kaspersky Endpoint Security> → Общие → Компоненты).
• С помощью командной строки, выполнив команду kesl-control --app-info.

В этом разделе Настройка интеграции с Kaspersky Endpoint Detection and Response Expert (on-premise) в Web Console Настройка интеграции с Kaspersky Endpoint Detection and Response Expert (on-premise) в командной строке

В начало