Integración de EDR Agent con KATA (EDR)

EDR Agent se instala en estaciones de trabajo y servidores en la infraestructura de TI de la organización. En estos equipos, EDR Agent supervisa continuamente procesos, conexiones de red abiertas y archivos que se modifican, y envía datos de supervisión al servidor con el componente de Central Node.

Para integrarse con EDR (KATA), debe añadir el componente Endpoint Detection and Response (KATA) y configurar EDR Agent.

Se deben cumplir con las siguientes condiciones para que Endpoint Detection and Response (KATA) funcione:

Kaspersky Anti Targeted Attack Platform versión 5.0 o superior.
Kaspersky Security Center versión 14.2 o superior. En versiones anteriores de Kaspersky Security Center, no es posible activar la funcionalidad de Endpoint Detection and Response (KATA).

El proceso de integración con Endpoint Detection and Response (KATA) incluye los siguientes pasos:

Activar Endpoint Detection and Response (KATA)
Debe comprar una licencia separada para EDR (KATA) (complemento de Kaspersky Endpoint Detection and Response [KATA]).

La funcionalidad está disponible tras añadir una clave diferente para Kaspersky Endpoint Detection and Response (KATA). La licencia para la funcionalidad independiente de Endpoint Detection and Response (KATA) es la misma licencia que la de Kaspersky Endpoint Security.

Asegúrese de que la funcionalidad EDR (KATA) esté incluida en la licencia y en ejecución en la interfaz local de la aplicación.
Conexión al Central Node
Kaspersky Anti Targeted Attack Platform requiere establecer una conexión de confianza entre Kaspersky Endpoint Security y el componente de Central Node. Para configurar una conexión de confianza, debe utilizar un certificado TLS. Puede obtener un certificado TLS en la consola de Kaspersky Anti Targeted Attack Platform (consulte las instrucciones en la Ayuda de Kaspersky Anti Targeted Attack Platform). A continuación, debe agregar el certificado TLS a Kaspersky Endpoint Security (consulte las instrucciones a continuación).

Agregar un certificado TLS a Kaspersky Endpoint Security

De manera predeterminada, Kaspersky Endpoint Security solo verifica el certificado TLS de Central Node. Para que la conexión sea más segura, también puede habilitar la verificación del equipo en Central Node (autenticación bidireccional). Para activar esta verificación, debe activar la autenticación bidireccional en la configuración de Central Node y Kaspersky Endpoint Security. Para usar la autenticación bidireccional, también necesitará un contenedor criptográfico. Un contenedor criptográfico es un archivo PFX con un certificado y una clave privada. Puede obtener un contenedor criptográfico en la consola de Kaspersky Anti Targeted Attack Platform (consulte las instrucciones en la Ayuda de Kaspersky Anti Targeted Attack Platform).

Cómo conectar un equipo con Kaspersky Endpoint Security al Central Node mediante la Consola de administración (MMC)
1. En la ventana principal de Web Console, seleccione la pestaña Activos (dispositivos) → Directivas y perfiles.
2. Haga clic en el nombre de la directiva de Kaspersky Endpoint Security.
  Se abre la ventana de propiedades de la directiva.
3. Seleccione la pestaña Configuración de la aplicación.
4. Vaya a la sección Detection and Response y seleccione el componente que desea configurar: Endpoint Detection and Response Expert (on-premise) o Network Detection and Response (KATA).
5. Seleccione la casilla de verificación correspondiente: Endpoint Detection and Response Expert (on-premise) o Network Detection and Response (KATA).
6. Haga clic en Configuración de conexión.
7. Configure la conexión del servidor:
  - Tiempo de espera (seg). Tiempo de espera máximo de respuesta del servidor de Central Node. Cuando se agota el tiempo de espera, Kaspersky Endpoint Security intenta conectarse a un servidor de Central Node diferente.
  - Certificado del servidor. Certificado TLS para establecer una conexión de confianza con el servidor de Central Node. Puede obtener un certificado TLS en la consola de Kaspersky Anti Targeted Attack Platform (consulte las instrucciones en la Ayuda de Kaspersky Anti Targeted Attack Platform).
  - Utilizar autenticación bidireccional. Autenticación bidireccional al establecer una conexión segura entre Kaspersky Endpoint Security y el servidor de Central Node. Para usar la autenticación bidireccional, debe activarla en la configuración del servidor de Central Node y, a continuación, obtener un contenedor criptográfico y establecer una contraseña para protegerlo. Un contenedor criptográfico es un archivo PFX con un certificado y una clave privada. Puede obtener un contenedor criptográfico en la consola de Kaspersky Anti Targeted Attack Platform (consulte las instrucciones en la Ayuda de Kaspersky Anti Targeted Attack Platform). Tras configurar Central Node, también debe activar la autenticación bidireccional en la configuración de Kaspersky Endpoint Security, y cargar un contenedor criptográfico protegido con contraseña.
    El contenedor criptográfico debe estar protegido con contraseña. No es posible agregar un contenedor criptográfico con una contraseña en blanco.
8. Haga clic en Aceptar.
9. Agregar servidores de Central Node. Para hacer esto, especifique la dirección del servidor (IPv4, IPv6) y el puerto para conectarse al servidor.
  Puede añadir varias direcciones de servidor del nodo central para EDR (KATA). Kaspersky Endpoint Security intenta conectarse al servidor en la primera dirección IP. Si no se puede establecer una conexión, Kaspersky Endpoint Security intenta conectarse a la segunda dirección IP de la lista, y así sucesivamente.
10. Si es necesario, configure la telemetría.
11. Guarde los cambios. Para aplicar la directiva en equipos, cierre los candados .
Cómo conectar un equipo con Kaspersky Endpoint Security al Central Node mediante Web Console
1. En la ventana principal de Web Console, seleccione la pestaña Activos (dispositivos) → Directivas y perfiles.
2. Haga clic en el nombre de la directiva de Kaspersky Endpoint Security.
  Se abre la ventana de propiedades de la directiva.
3. Seleccione la pestaña Configuración de la aplicación.
4. Vaya a la sección Configuración de agentes integrados y seleccione el componente que desea configurar: Endpoint Detection and Response Expert (on-premise) o Network Detection and Response (KATA).
5. Active el interruptor correspondiente: Endpoint Detection and Response Expert (on-premise) ACTIVADO o Network Detection and Response (KATA) ACTIVADO.
6. Para configurar EDR (KATA), seleccione Endpoint Detection and Response (KATA) en la lista de soluciones.
7. Haga clic en Configuración de conexión.
8. Configure la conexión del servidor:
  - Tiempo de espera (seg). Tiempo de espera máximo de respuesta del servidor de Central Node. Cuando se agota el tiempo de espera, Kaspersky Endpoint Security intenta conectarse a un servidor de Central Node diferente.
  - Certificado del servidor. Certificado TLS para establecer una conexión de confianza con el servidor de Central Node. Puede obtener un certificado TLS en la consola de Kaspersky Anti Targeted Attack Platform (consulte las instrucciones en la Ayuda de Kaspersky Anti Targeted Attack Platform).
  - Utilizar autenticación bidireccional. Autenticación bidireccional al establecer una conexión segura entre Kaspersky Endpoint Security y el servidor de Central Node. Para usar la autenticación bidireccional, debe activarla en la configuración del servidor de Central Node y, a continuación, obtener un contenedor criptográfico y establecer una contraseña para protegerlo. Un contenedor criptográfico es un archivo PFX con un certificado y una clave privada. Puede obtener un contenedor criptográfico en la consola de Kaspersky Anti Targeted Attack Platform (consulte las instrucciones en la Ayuda de Kaspersky Anti Targeted Attack Platform). Tras configurar Central Node, también debe activar la autenticación bidireccional en la configuración de Kaspersky Endpoint Security, y cargar un contenedor criptográfico protegido con contraseña.
    El contenedor criptográfico debe estar protegido con contraseña. No es posible agregar un contenedor criptográfico con una contraseña en blanco.
9. Haga clic en Aceptar.
10. Agregar servidores de Central Node. Para hacer esto, especifique la dirección del servidor (IPv4, IPv6) y el puerto para conectarse al servidor.
  Puede añadir varias direcciones de servidor del nodo central para EDR (KATA). Kaspersky Endpoint Security intenta conectarse al servidor en la primera dirección IP. Si no se puede establecer una conexión, Kaspersky Endpoint Security intenta conectarse a la segunda dirección IP de la lista, y así sucesivamente.
11. Si es necesario, configure la telemetría.
12. Guarde los cambios. Para aplicar la directiva en equipos, cierre los candados .
Como resultado, el equipo se agrega a la consola de Kaspersky Anti Targeted Attack Platform. Compruebe el estado operativo del componente consultando el Informe sobre el estado de los componentes de la aplicación. También puede ver el estado operativo de un componente en los informes de la interfaz local de Kaspersky Endpoint Security. El componente Endpoint Detection and Response Expert (on-premise) se añadirá a la lista de componentes de Kaspersky Endpoint Security.

Inicio de página