Integrazione dell'agente integrato con EDR / NDR (KATA)

Per l'integrazione con EDR/NDR (KATA), è necessario aggiungere il componente pertinente: Endpoint Detection and Response (KATA) o Network Detection and Response (KATA). È possibile selezionare i componenti per l'integrazione con EDR / NDR (KATA) durante l'installazione o l'upgrade dell'applicazione, oltre a utilizzare l'attività Modifica i componenti dell'applicazione.

A partire dalla versione 12.11 di Kaspersky Endpoint Security for Windows, il componente EDR (KATA) è stato rinominato in Endpoint Detection and Response Expert (on-premise). In questa versione dell'applicazione il componente è diventato universale. Ciò significa che Embedded Agent gestisce la comunicazione non solo con Kaspersky Anti Targeted Attack Platform, ma anche con altre soluzioni Detection and Response di Kaspersky.

L'integrazione di Kaspersky Endpoint Security con la soluzione Kaspersky Endpoint Detection and Response Expert (on-premise) sarà presto disponibile. Kaspersky Endpoint Detection and Response Expert (on-premise) è una soluzione di sicurezza informatica aziendale che include le applicazioni Kaspersky che consentono a un'organizzazione di difendersi dalla maggior parte dei tipi di rischi informatici e coprire i più importanti scenari di propagazione delle minacce. I componenti di EDR Expert (on-premise) vengono distribuiti in Open Single Management Platform (OSMP). Questa funzionalità dovrebbe essere supportata entro la fine del 2025. Tenere traccia delle nostre note sulla versione per essere a conoscenza degli upgrade delle applicazioni e delle nuove funzionalità.

I componenti EDR Optimum, EDR Expert e EDR (KATA) non sono compatibili tra loro.

Per utilizzare EDR / NDR (KATA), è necessario che le seguenti condizioni siano soddisfatte:

• EDR (KATA): Kaspersky Anti Targeted Attack Platform versione 5.0 o successiva.
• NDR (KATA): Kaspersky Anti Targeted Attack Platform versione 7.0 o successiva.
• EDR (KATA): Kaspersky Endpoint Security for Windows 12.1 o versioni successive. Per ulteriori dettagli sulla compatibilità di KATA con le diverse versioni di Kaspersky Endpoint Security, fare riferimento alla Guida di Kaspersky Anti Targeted Attack Platform.
• NDR (KATA): Kaspersky Endpoint Security for Windows 12.7 o versioni successive.
• Kaspersky Security Center versione 14.2 o successiva. Nelle versioni precedenti di Kaspersky Security Center, non è possibile attivare la funzionalità di EDR / NDR (KATA).
• L'applicazione è attivata e la funzionalità è coperta dalla licenza.
• I componenti Endpoint Detection and Response (KATA) e Network Detection and Response (KATA) sono abilitati.
• I componenti dell'applicazione che garantiscono il funzionamento di EDR / NDR (KATA) sono abilitati e operativi. I seguenti componenti assicurano il funzionamento di EDR / NDR (KATA):
  • Protezione minacce file.
  • Protezione minacce web.
  • Protezione minacce di posta.
  • Prevenzione Exploit.
  • Rilevamento del Comportamento.
  • Prevenzione Intrusioni Host.
  • Protezione AMSI.
  • Scansione in background.
  • Kaspersky Security Network.

L'integrazione con Endpoint Detection and Response (KATA) prevede i seguenti passaggi:

1. Installazione dei componenti Endpoint Detection and Response (KATA) e Network Detection and Response (KATA)

   È possibile selezionare i componenti EDR (KATA) e NDR (KATA) durante l'installazione o l'upgrade, oltre a utilizzare l'attività Modifica i componenti dell'applicazione.

   È necessario riavviare il computer per completare l'aggiornamento dell'applicazione con i nuovi componenti.

2. Attivazione di Endpoint Detection and Response (KATA) e Network Detection and Response (KATA)

   È necessario acquistare una licenza separata per EDR (KATA) e NDR (KATA) (ad esempio, il componente aggiuntivo Kaspersky Endpoint Detection and Response (KATA)).

   La funzionalità diventa disponibile dopo l'aggiunta di una chiave separata che copre le funzionalità EDR (KATA) e NDR (KATA). Di conseguenza, nel computer vengono aggiunte più chiavi: una chiave per Kaspersky Endpoint Security e altre chiavi per Kaspersky Endpoint Detection and Response (KATA) e Network Detection and Response (KATA).

   La licenza per la funzionalità EDR (KATA) e NDR (KATA) autonoma è la stessa della licenza di Kaspersky Endpoint Security.

   Verificare che sia la funzionalità EDR (KATA) che NDR (KATA) sia inclusa nella licenza e che venga eseguita nell'interfaccia locale dell'applicazione.

3. Connessione a Central Node

   Kaspersky Anti Targeted Attack Platform richiede di stabilire una connessione attendibile tra Kaspersky Endpoint Security e il componente Central Node. Per configurare una connessione attendibile, è necessario utilizzare un certificato TLS. È possibile ottenere un certificato TLS nella console di Kaspersky Anti Targeted Attack Platform (vedere le istruzioni nel file Guida di Kaspersky Anti Targeted Attack Platform). Quindi è necessario aggiungere il certificato TLS a Kaspersky Endpoint Security (vedere le istruzioni di seguito).

   

   Aggiunta di un certificato TLS a Kaspersky Endpoint Security

   Per impostazione predefinita, Kaspersky Endpoint Security controlla solo il certificato TLS di Central Node. Per rendere la connessione più sicura, è inoltre possibile abilitare la verifica del computer in Central Node (autenticazione a due vie). Per abilitare questa verifica, è necessario attivare l'autenticazione a due vie nelle impostazioni di Central Node e Kaspersky Endpoint Security. Per utilizzare l'autenticazione a due vie, è necessario anche un contenitore crittografico. Un contenitore crittografico è un archivio PFX con un certificato e una chiave privata. È possibile ottenere un contenitore crittografico nella console di Kaspersky Anti Targeted Attack Platform (vedere le istruzioni nel file Guida di Kaspersky Anti Targeted Attack Platform).

   Come connettere un computer Kaspersky Endpoint Security a Central Node tramite Administration Console (MMC)

   1. Nella finestra principale di Web Console, selezionare la scheda Risorse (dispositivi) → Criteri e profili.
   2. Fare clic sul nome del criterio di Kaspersky Endpoint Security.

      Verrà visualizzata la finestra delle proprietà del criterio.

   3. Selezionare la scheda Impostazioni applicazione.
   4. Passare alla sezione Detection and Response e selezionare il componente che si desidera configurare: Endpoint Detection and Response Expert (on-premise) o Network Detection and Response (KATA).
   5. Selezionare la casella di controllo corrispondente: Endpoint Detection and Response Expert (on-premise) o Network Detection and Response (KATA).
   6. Fare clic su Impostazioni di connessione.
   7. Configurare la connessione al server:
      • Timeout (sec). Timeout massimo di risposta del server di Central Node. Allo scadere del timeout, Kaspersky Endpoint Security tenta di connettersi a un altro server Central Node.
      • Certificato server. Certificato TLS per stabilire una connessione attendibile con il server di Central Node. È possibile ottenere un certificato TLS nella console di Kaspersky Anti Targeted Attack Platform (vedere le istruzioni nel file Guida di Kaspersky Anti Targeted Attack Platform).
      • Usa autenticazione a due vie. Autenticazione bidirezionale quando si stabilisce una connessione sicura tra Kaspersky Endpoint Security e il server Central Node. Per utilizzare l'autenticazione bidirezionale, è necessario abilitare l'autenticazione bidirezionale nelle impostazioni del server Central Node, quindi recuperare un contenitore crittografico e impostare una password per proteggerlo. Un contenitore crittografico è un archivio PFX con un certificato e una chiave privata. È possibile ottenere un contenitore crittografico nella console di Kaspersky Anti Targeted Attack Platform (vedere le istruzioni nel file Guida di Kaspersky Anti Targeted Attack Platform). Dopo aver configurato le impostazioni di Central Node, è necessario abilitare anche l'autenticazione bidirezionale nelle impostazioni di Kaspersky Endpoint Security e caricare un contenitore crittografico protetto da password.

        Il contenitore crittografico deve essere protetto tramite password. Non è possibile aggiungere un contenitore crittografico senza una password.

   8. Fare clic su OK.
   9. Aggiungere i server di Central Node. A tale scopo, specificare l'indirizzo del server (IPv4, IPv6) e la porta per connettersi al server.

      È possibile aggiungere più indirizzi server di Central Node per EDR (KATA). Kaspersky Endpoint Security tenta di connettersi al server al primo indirizzo IP. Se non è possibile stabilire una connessione, Kaspersky Endpoint Security tenta di connettersi al secondo indirizzo IP nell'elenco e così via.

   10. Se necessario, configurare la telemetria.
   11. Salvare le modifiche. Per applicare il criterio nei computer, chiudere i lucchetti .

   Come connettere un computer Kaspersky Endpoint Security a Central Node tramite Web Console

   1. Nella finestra principale di Web Console, selezionare la scheda Risorse (dispositivi) → Criteri e profili.
   2. Fare clic sul nome del criterio di Kaspersky Endpoint Security.

      Verrà visualizzata la finestra delle proprietà del criterio.

   3. Selezionare la scheda Impostazioni applicazione.
   4. Passare alla sezione Configurazione agenti integrati e selezionare il componente che si desidera configurare: Endpoint Detection and Response Expert (on-premise) o Network Detection and Response (KATA).
   5. Attivare l'interruttore corrispondente: Endpoint Detection and Response Expert (on-premise) ABILITATO o Network Detection and Response (KATA) ABILITATO.
   6. Per configurare EDR (KATA), selezionare Endpoint Detection and Response (KATA) dall'elenco delle soluzioni.
   7. Fare clic su Impostazioni di connessione.
   8. Configurare la connessione al server:
      • Timeout (sec). Timeout massimo di risposta del server di Central Node. Allo scadere del timeout, Kaspersky Endpoint Security tenta di connettersi a un altro server Central Node.
      • Certificato server. Certificato TLS per stabilire una connessione attendibile con il server di Central Node. È possibile ottenere un certificato TLS nella console di Kaspersky Anti Targeted Attack Platform (vedere le istruzioni nel file Guida di Kaspersky Anti Targeted Attack Platform).
      • Usa autenticazione a due vie. Autenticazione bidirezionale quando si stabilisce una connessione sicura tra Kaspersky Endpoint Security e il server Central Node. Per utilizzare l'autenticazione bidirezionale, è necessario abilitare l'autenticazione bidirezionale nelle impostazioni del server Central Node, quindi recuperare un contenitore crittografico e impostare una password per proteggerlo. Un contenitore crittografico è un archivio PFX con un certificato e una chiave privata. È possibile ottenere un contenitore crittografico nella console di Kaspersky Anti Targeted Attack Platform (vedere le istruzioni nel file Guida di Kaspersky Anti Targeted Attack Platform). Dopo aver configurato le impostazioni di Central Node, è necessario abilitare anche l'autenticazione bidirezionale nelle impostazioni di Kaspersky Endpoint Security e caricare un contenitore crittografico protetto da password.

        Il contenitore crittografico deve essere protetto tramite password. Non è possibile aggiungere un contenitore crittografico senza una password.

   9. Fare clic su OK.
   10. Aggiungere i server di Central Node. A tale scopo, specificare l'indirizzo del server (IPv4, IPv6) e la porta per connettersi al server.

       È possibile aggiungere più indirizzi server di Central Node per EDR (KATA). Kaspersky Endpoint Security tenta di connettersi al server al primo indirizzo IP. Se non è possibile stabilire una connessione, Kaspersky Endpoint Security tenta di connettersi al secondo indirizzo IP nell'elenco e così via.

   11. Se necessario, configurare la telemetria.
   12. Salvare le modifiche. Per applicare il criterio nei computer, chiudere i lucchetti .

   È inoltre possibile aggiungere un certificato TLS in locale tramite la riga di comando.

   Di conseguenza, il computer viene aggiunto alla console di Kaspersky Anti Targeted Attack Platform. Controllare lo stato operativo del componente visualizzando il Rapporto sullo stato dei componenti dell'applicazione. È inoltre possibile visualizzare lo stato operativo dei componenti nei rapporti nell'interfaccia locale di Kaspersky Endpoint Security. I componenti Endpoint Detection and Response Expert (on-premise) e Network Detection and Response (KATA) verranno aggiunti all'elenco dei componenti di Kaspersky Endpoint Security.

   È possibile verificare lo stato dei componenti nella console di Kaspersky Security Center nelle proprietà del computer nella sezione Componenti. Considerare quanto segue durante il controllo dello stato del componente nella console. Se il componente non è installato e la funzionalità non è coperta dalla licenza, la console mostra lo stato Non supportato dalla licenza anziché Non installato.

   A partire da Kaspersky Endpoint Security 12.6 for Windows, è possibile monitorare lo stato del componente EDR (KATA) in Kaspersky Security Center Administration Console (MMC). Lo stato corrente del componente viene visualizzato nelle proprietà del computer nella colonna Stato Endpoint Sensor (In esecuzione, Avvio in corso, Arrestata, Sospesa, Non riuscito, Sconosciuto). Web Console non mostra lo stato di Endpoint Sensor.

Inizio pagina