Integrazione di EDR Agent con KATA (EDR)

EDR Agent è installato su workstation e server nell'infrastruttura IT dell'organizzazione. Su questi computer, EDR Agent monitora continuamente i processi, le connessioni di rete aperte e i file modificati e invia i dati di monitoraggio al server con il componente Central Node.

Per l'integrazione con EDR (KATA), è necessario abilitare il componente Endpoint Detection and Response (KATA) e configurare EDR Agent.

Per il corretto funzionamento di Endpoint Detection and Response (KATA), è necessario soddisfare le seguenti condizioni:

Kaspersky Anti Targeted Attack Platform versione 5.0 o successiva.
Kaspersky Security Center versione 14.2 o successiva. Nelle versioni precedenti di Kaspersky Security Center, non è possibile attivare la funzionalità Endpoint Detection and Response (KATA).

L'integrazione con Endpoint Detection and Response (KATA) prevede i seguenti passaggi:

Attivazione di Endpoint Detection and Response (KATA)
È necessario acquistare una licenza separata per EDR (KATA) (componente aggiuntivo Kaspersky Endpoint Detection and Response (KATA)).

La funzionalità diventa disponibile dopo aver aggiunto una chiave separata per Kaspersky Endpoint Detection and Response (KATA). La licenza per la funzionalità Endpoint Detection and Response (KATA) autonoma è la stessa della licenza di Kaspersky Endpoint Security.

Verificare che la funzionalità EDR (KATA) sia inclusa nella licenza e che venga eseguita nell'interfaccia locale dell'applicazione.
Connessione a Central Node
Kaspersky Anti Targeted Attack Platform richiede di stabilire una connessione attendibile tra Kaspersky Endpoint Security e il componente Central Node. Per configurare una connessione attendibile, è necessario utilizzare un certificato TLS. È possibile ottenere un certificato TLS nella console di Kaspersky Anti Targeted Attack Platform (vedere le istruzioni nel file Guida di Kaspersky Anti Targeted Attack Platform). Quindi è necessario aggiungere il certificato TLS a Kaspersky Endpoint Security (vedere le istruzioni di seguito).

Aggiunta di un certificato TLS a Kaspersky Endpoint Security

Per impostazione predefinita, Kaspersky Endpoint Security controlla solo il certificato TLS di Central Node. Per rendere la connessione più sicura, è inoltre possibile abilitare la verifica del computer in Central Node (autenticazione a due vie). Per abilitare questa verifica, è necessario attivare l'autenticazione a due vie nelle impostazioni di Central Node e Kaspersky Endpoint Security. Per utilizzare l'autenticazione a due vie, è necessario anche un contenitore crittografico. Un contenitore crittografico è un archivio PFX con un certificato e una chiave privata. È possibile ottenere un contenitore crittografico nella console di Kaspersky Anti Targeted Attack Platform (vedere le istruzioni nel file Guida di Kaspersky Anti Targeted Attack Platform).

Come connettere un computer Kaspersky Endpoint Security a Central Node tramite Administration Console (MMC)
1. Nella finestra principale di Web Console, selezionare la scheda Risorse (dispositivi) → Criteri e profili.
2. Fare clic sul nome del criterio di Kaspersky Endpoint Security.
  Verrà visualizzata la finestra delle proprietà del criterio.
3. Selezionare la scheda Impostazioni applicazione.
4. Passare alla sezione Detection and Response e selezionare il componente che si desidera configurare: Endpoint Detection and Response Expert (on-premise) o Network Detection and Response (KATA).
5. Selezionare la casella di controllo corrispondente: Endpoint Detection and Response Expert (on-premise) o Network Detection and Response (KATA).
6. Fare clic su Impostazioni di connessione.
7. Configurare la connessione al server:
  - Timeout (sec). Timeout massimo di risposta del server di Central Node. Allo scadere del timeout, Kaspersky Endpoint Security tenta di connettersi a un altro server Central Node.
  - Certificato server. Certificato TLS per stabilire una connessione attendibile con il server di Central Node. È possibile ottenere un certificato TLS nella console di Kaspersky Anti Targeted Attack Platform (vedere le istruzioni nel file Guida di Kaspersky Anti Targeted Attack Platform).
  - Usa autenticazione a due vie. Autenticazione bidirezionale quando si stabilisce una connessione sicura tra Kaspersky Endpoint Security e il server Central Node. Per utilizzare l'autenticazione bidirezionale, è necessario abilitare l'autenticazione bidirezionale nelle impostazioni del server Central Node, quindi recuperare un contenitore crittografico e impostare una password per proteggerlo. Un contenitore crittografico è un archivio PFX con un certificato e una chiave privata. È possibile ottenere un contenitore crittografico nella console di Kaspersky Anti Targeted Attack Platform (vedere le istruzioni nel file Guida di Kaspersky Anti Targeted Attack Platform). Dopo aver configurato le impostazioni di Central Node, è necessario abilitare anche l'autenticazione bidirezionale nelle impostazioni di Kaspersky Endpoint Security e caricare un contenitore crittografico protetto da password.
    Il contenitore crittografico deve essere protetto tramite password. Non è possibile aggiungere un contenitore crittografico senza una password.
8. Fare clic su OK.
9. Aggiungere i server di Central Node. A tale scopo, specificare l'indirizzo del server (IPv4, IPv6) e la porta per connettersi al server.
  È possibile aggiungere più indirizzi server di Central Node per EDR (KATA). Kaspersky Endpoint Security tenta di connettersi al server al primo indirizzo IP. Se non è possibile stabilire una connessione, Kaspersky Endpoint Security tenta di connettersi al secondo indirizzo IP nell'elenco e così via.
10. Se necessario, configurare la telemetria.
11. Salvare le modifiche. Per applicare il criterio nei computer, chiudere i lucchetti .
Come connettere un computer Kaspersky Endpoint Security a Central Node tramite Web Console
1. Nella finestra principale di Web Console, selezionare la scheda Risorse (dispositivi) → Criteri e profili.
2. Fare clic sul nome del criterio di Kaspersky Endpoint Security.
  Verrà visualizzata la finestra delle proprietà del criterio.
3. Selezionare la scheda Impostazioni applicazione.
4. Passare alla sezione Configurazione agenti integrati e selezionare il componente che si desidera configurare: Endpoint Detection and Response Expert (on-premise) o Network Detection and Response (KATA).
5. Attivare l'interruttore corrispondente: Endpoint Detection and Response Expert (on-premise) ABILITATO o Network Detection and Response (KATA) ABILITATO.
6. Per configurare EDR (KATA), selezionare Endpoint Detection and Response (KATA) dall'elenco delle soluzioni.
7. Fare clic su Impostazioni di connessione.
8. Configurare la connessione al server:
  - Timeout (sec). Timeout massimo di risposta del server di Central Node. Allo scadere del timeout, Kaspersky Endpoint Security tenta di connettersi a un altro server Central Node.
  - Certificato server. Certificato TLS per stabilire una connessione attendibile con il server di Central Node. È possibile ottenere un certificato TLS nella console di Kaspersky Anti Targeted Attack Platform (vedere le istruzioni nel file Guida di Kaspersky Anti Targeted Attack Platform).
  - Usa autenticazione a due vie. Autenticazione bidirezionale quando si stabilisce una connessione sicura tra Kaspersky Endpoint Security e il server Central Node. Per utilizzare l'autenticazione bidirezionale, è necessario abilitare l'autenticazione bidirezionale nelle impostazioni del server Central Node, quindi recuperare un contenitore crittografico e impostare una password per proteggerlo. Un contenitore crittografico è un archivio PFX con un certificato e una chiave privata. È possibile ottenere un contenitore crittografico nella console di Kaspersky Anti Targeted Attack Platform (vedere le istruzioni nel file Guida di Kaspersky Anti Targeted Attack Platform). Dopo aver configurato le impostazioni di Central Node, è necessario abilitare anche l'autenticazione bidirezionale nelle impostazioni di Kaspersky Endpoint Security e caricare un contenitore crittografico protetto da password.
    Il contenitore crittografico deve essere protetto tramite password. Non è possibile aggiungere un contenitore crittografico senza una password.
9. Fare clic su OK.
10. Aggiungere i server di Central Node. A tale scopo, specificare l'indirizzo del server (IPv4, IPv6) e la porta per connettersi al server.
  È possibile aggiungere più indirizzi server di Central Node per EDR (KATA). Kaspersky Endpoint Security tenta di connettersi al server al primo indirizzo IP. Se non è possibile stabilire una connessione, Kaspersky Endpoint Security tenta di connettersi al secondo indirizzo IP nell'elenco e così via.
11. Se necessario, configurare la telemetria.
12. Salvare le modifiche. Per applicare il criterio nei computer, chiudere i lucchetti .
Di conseguenza, il computer viene aggiunto alla console di Kaspersky Anti Targeted Attack Platform. Controllare lo stato operativo del componente visualizzando il Rapporto sullo stato dei componenti dell'applicazione. È inoltre possibile visualizzare lo stato operativo di un componente nei rapporti nell'interfaccia locale di Kaspersky Endpoint Security. Il componente Endpoint Detection and Response Expert (on-premise) verrà aggiunto all'elenco dei componenti di Kaspersky Endpoint Security.

Inizio pagina