Integrar o EDR Agent com KATA (EDR)

O EDR Agent é instalado em estações de trabalho e servidores na infraestrutura de TI da organização. Nestes computadores, o EDR Agent monitoriza continuamente processos, ligações de rede abertas e ficheiros que são modificados, e envia os dados de monitorização para o servidor com o componente Central Node.

Para integrar com o EDR (KATA), tem de ativar o componente Endpoint Detection and Response (KATA) e configurar o EDR Agent.

Para o Endpoint Detection and Response (KATA) funcionar, tem de cumprir as seguintes condições:

Kaspersky Anti Targeted Attack Platform versão 5.0 ou posterior.
Kaspersky Security Center versão 14.2 ou superior. Nas versões anteriores do Kaspersky Security Center, é impossível ativar a funcionalidade Endpoint Detection and Response (KATA).

A integração com o Kaspersky Endpoint Detection and Response (KATA) implica os seguintes passos:

Ativar o Endpoint Detection and Response (KATA)
Comprar uma licença separada para o EDR (KATA) (Suplemento do Kaspersky Endpoint Detection and Response (KATA)).

A funcionalidade estará disponível após adicionar uma chave individual para o Kaspersky Endpoint Detection and Response (KATA). A licença para a funcionalidade Endpoint Detection and Response (KATA) autónoma é a mesma que a licença do Kaspersky Endpoint Security.

Certifique-se de que a funcionalidade EDR (KATA) é incluída na licença e é executada na interface local da aplicação.
Ligar ao Central Node
A Kaspersky Anti Targeted Attack Platform requer o estabelecimento de uma ligação fiável entre o Kaspersky Endpoint Security e o componente Central Node. Para configurar uma ligação fiável, tem de utilizar um certificado TLS. Pode obter um certificado TLS na consola da Kaspersky Anti Targeted Attack Platform (consulte as instruções na Ajuda da Kaspersky Anti Targeted Attack Platform). Em seguida, tem de adicionar o certificado TLS ao Kaspersky Endpoint Security (consulte as instruções abaixo).

Adicionar um certificado TLS ao Kaspersky Endpoint Security

Por padrão, o Kaspersky Endpoint Security verifica apenas o certificado TLS do Central Node. Para tornar a ligação mais segura, também pode ativar a verificação do computador no Central Node (autenticação bidirecional). Para ativar esta verificação, tem de ativar a autenticação bidirecional nas definições do Central Node e do Kaspersky Endpoint Security. Para usar a autenticação bidirecional, também irá precisar de um cripto-contentor. Um cripto-contentor é um arquivo PFX com um certificado e uma chave privada. Pode obter um cripto-contentor na consola da Kaspersky Anti Targeted Attack Platform (consulte as instruções na Ajuda da Kaspersky Anti Targeted Attack Platform).

Como ligar um computador do Kaspersky Endpoint Security ao Central Node usando a Consola de Administração (MMC)
1. Na janela principal da Consola Web, selecione o separador Assets (Devices) → Policies & profiles.
2. Clique no nome da política do Kaspersky Endpoint Security.
  É apresentada a janela de propriedades da política.
3. Selecione o separador Application settings.
4. Aceda à secção Detection and Response e selecione o componente que pretende configurar: Endpoint Detection and Response Expert (on-premise) ou Network Detection and Response (KATA).
5. Selecione a caixa de verificação correspondente: Endpoint Detection and Response Expert (on-premise) ou Network Detection and Response (KATA).
6. Clique em Connection settings.
7. Configure a ligação do servidor:
  - Timeout (sec). Tempo limite máximo de resposta do servidor do Central Node. Quando o tempo limite acaba, o Kaspersky Endpoint Security tenta ligar-se a um servidor de Central Node diferente.
  - Server certificate. Certificado TLS para estabelecer uma ligação fiável com o servidor do Central Node. Pode obter um certificado TLS na consola da Kaspersky Anti Targeted Attack Platform (consulte as instruções na Ajuda da Kaspersky Anti Targeted Attack Platform).
  - Use two-way authentication. Autenticação bidirecional ao estabelecer uma ligação segura entre o Kaspersky Endpoint Security e o servidor do Central Node. Para utilizar a autenticação bidirecional, é necessário ativar a autenticação bidirecional nas definições do servidor do Central Node e, em seguida, obter um contentor criptográfico e definir uma password para proteger o contentor criptográfico. Um cripto-contentor é um arquivo PFX com um certificado e uma chave privada. Pode obter um cripto-contentor na consola da Kaspersky Anti Targeted Attack Platform (consulte as instruções na Ajuda da Kaspersky Anti Targeted Attack Platform). Após configurar as definições do Central Node, é também necessário ativar a autenticação bidirecional nas definições do Kaspersky Endpoint Security e carregar um contentor criptográfico protegido por password.
    O cripto-contentor deve ser protegido por password. Não é possível adicionar um cripto-contentor com uma password em branco.
8. Clique em OK.
9. Adicionar servidores de Central Node. Para o fazer, especifique o endereço do servidor (IPv4, IPv6) e a porta para se ligar ao servidor.
  Pode adicionar vários endereços do servidor do Nó Central para o EDR (KATA). O Kaspersky Endpoint Security tenta ligar-se ao servidor no primeiro endereço IP. Se não for possível estabelecer uma ligação, o Kaspersky Endpoint Security tenta ligar-se ao segundo endereço IP da lista e assim sucessivamente.
10. Se necessário, configure a telemetria.
11. Guarde as suas alterações. Para aplicar a política em computadores, feche os cadeados .
Como ligar um computador do Kaspersky Endpoint Security ao Central Node usando a Consola Web
1. Na janela principal da Consola Web, selecione o separador Assets (Devices) → Policies & profiles.
2. Clique no nome da política do Kaspersky Endpoint Security.
  É apresentada a janela de propriedades da política.
3. Selecione o separador Application settings.
4. Aceda à secção Built-in Agents Configuration e selecione o componente que pretende configurar: Endpoint Detection and Response Expert (on-premise) ou Network Detection and Response (KATA).
5. Ative o botão de alternar correspondente: Endpoint Detection and Response Expert (on-premise) ENABLED ou Network Detection and Response (KATA) ENABLED.
6. Para configurar o EDR (KATA), selecione Endpoint Detection and Response (KATA) da lista de soluções.
7. Clique em Connection settings.
8. Configure a ligação do servidor:
  - Timeout (sec). Tempo limite máximo de resposta do servidor do Central Node. Quando o tempo limite acaba, o Kaspersky Endpoint Security tenta ligar-se a um servidor de Central Node diferente.
  - Server certificate. Certificado TLS para estabelecer uma ligação fiável com o servidor do Central Node. Pode obter um certificado TLS na consola da Kaspersky Anti Targeted Attack Platform (consulte as instruções na Ajuda da Kaspersky Anti Targeted Attack Platform).
  - Use two-way authentication. Autenticação bidirecional ao estabelecer uma ligação segura entre o Kaspersky Endpoint Security e o servidor do Central Node. Para utilizar a autenticação bidirecional, é necessário ativar a autenticação bidirecional nas definições do servidor do Central Node e, em seguida, obter um contentor criptográfico e definir uma password para proteger o contentor criptográfico. Um cripto-contentor é um arquivo PFX com um certificado e uma chave privada. Pode obter um cripto-contentor na consola da Kaspersky Anti Targeted Attack Platform (consulte as instruções na Ajuda da Kaspersky Anti Targeted Attack Platform). Após configurar as definições do Central Node, é também necessário ativar a autenticação bidirecional nas definições do Kaspersky Endpoint Security e carregar um contentor criptográfico protegido por password.
    O cripto-contentor deve ser protegido por password. Não é possível adicionar um cripto-contentor com uma password em branco.
9. Clique em OK.
10. Adicionar servidores de Central Node. Para o fazer, especifique o endereço do servidor (IPv4, IPv6) e a porta para se ligar ao servidor.
  Pode adicionar vários endereços do servidor do Nó Central para o EDR (KATA). O Kaspersky Endpoint Security tenta ligar-se ao servidor no primeiro endereço IP. Se não for possível estabelecer uma ligação, o Kaspersky Endpoint Security tenta ligar-se ao segundo endereço IP da lista e assim sucessivamente.
11. Se necessário, configure a telemetria.
12. Guarde as suas alterações. Para aplicar a política em computadores, feche os cadeados .
Como resultado, o computador é adicionado à consola da Kaspersky Anti Targeted Attack Platform. Verifique o estado de funcionamento do componente, ao consultar o Report on status of application components. Pode também ver o estado de funcionamento de um componente em relatórios na interface local do Kaspersky Endpoint Security. O componente Endpoint Detection and Response Expert (on-premise) será adicionado à lista de componentes do Kaspersky Endpoint Security.

Topo da página