Integrarea EDR Agent cu KATA (EDR)

EDR Agent este instalat pe stațiile de lucru și serverele din infrastructura IT a organizației. Pe aceste computere, EDR Agent monitorizează continuu procesele, conexiunile de rețea deschise și fișierele care sunt modificate și trimite datele de monitorizare către serverul cu componenta Central Node.

Pentru integrarea cu EDR (KATA), trebuie să activați componenta Endpoint Detection and Response (KATA) și să configurați EDR Agent.

Trebuie îndeplinite următoarele condiții pentru ca Endpoint Detection and Response (KATA) să funcționeze:

Kaspersky Anti Targeted Attack Platform versiunea 5.0 sau o versiune ulterioară.
Kaspersky Security Center versiunea 14.2 sau o versiune ulterioară. În versiunile anterioare ale Kaspersky Security Center, este imposibil de activat caracteristica Endpoint Detection and Response (KATA).

Integrarea cu Kaspersky Endpoint Detection and Response (KATA) presupune următorii pași:

Activarea componentei Endpoint Detection and Response (KATA)
Trebuie să achiziționați o licență separată pentru EDR (KATA) (suplimentul Kaspersky Endpoint Detection and Response (KATA)).

Funcționalitatea devine disponibilă după adăugarea unei chei separate pentru Kaspersky Endpoint Detection and Response (KATA). Licențierea funcționalității individuale Endpoint Detection and Response (KATA) se realizează la fel ca licențierea componentei Kaspersky Endpoint Security.

Asigurați-vă că funcționalitatea componentei EDR (KATA) este inclusă în licență și că aceasta se execută în interfața locală a aplicației.
Conectarea la Central Node
Kaspersky Anti Targeted Attack Platform necesită stabilirea unei conexiuni de încredere între Kaspersky Endpoint Security și componenta Central Node. Pentru a configura o conexiune de încredere, trebuie să utilizați un certificat TLS. Puteți obține un certificat TLS în consola Kaspersky Anti Targeted Attack Platform (consultați instrucțiunile din Ajutor Kaspersky Anti Targeted Attack Platform). Apoi, trebuie să adăugați certificatul TLS la Kaspersky Endpoint Security (consultați instrucțiunile de mai jos).

Adăugarea unui certificat TLS la Kaspersky Endpoint Security

În mod implicit, Kaspersky Endpoint Security verifică doar certificatul TLS al componentei Central Node. Pentru a face conexiunea mai sigură, puteți activa suplimentar verificarea computerului în Central Node (autentificare mutuală). Pentru a activa această verificare, trebuie să activați autentificarea mutuală în setările Central Node și Kaspersky Endpoint Security. Pentru a utiliza autentificarea mutuală, veți avea nevoie și de un cripto-container. Un cripto-container este o arhivă PFX cu un certificat și o cheie privată. Puteți obține un cripto-container în consola Kaspersky Anti Targeted Attack Platform (consultați instrucțiunile din Ajutor Kaspersky Anti Targeted Attack Platform).

Cum conectați un computer Kaspersky Endpoint Security la Central Node utilizând Consola de administrare (MMC)
1. În fereastra principală a Web Console, selectați fila Assets (Devices) → Policies & profiles.
2. Faceți clic pe numele politicii Kaspersky Endpoint Security.
  Se deschide fereastra de proprietăți a politicii.
3. Selectați fila Application settings.
4. Accesează secțiunea Detection and Response și selectează componenta pe care dorești să o configurezi: Endpoint Detection and Response Expert (on-premise) sau Network Detection and Response (KATA).
5. Bifează caseta de selectare corespunzătoare: Endpoint Detection and Response Expert (on-premise) sau Network Detection and Response (KATA).
6. Fă clic pe Connection settings.
7. Configurați conexiunea la server:
  - Timeout (sec). Expirarea timpului maxim de răspuns al serverului Central Node. Când timpul de expirare se termină, Kaspersky Endpoint Security încearcă să se conecteze la un alt server Central Node.
  - Server certificate. Certificat TLS pentru stabilirea unei conexiuni de încredere cu serverul Central Node. Puteți obține un certificat TLS în consola Kaspersky Anti Targeted Attack Platform (consultați instrucțiunile din Ajutor Kaspersky Anti Targeted Attack Platform).
  - Use two-way authentication. Autentificare mutuală la stabilirea unei conexiuni securizate între Kaspersky Endpoint Security și serverul Central Node. Pentru a utiliza autentificarea mutuală, trebuie să activezi autentificarea mutuală în setările serverului Central Node, apoi să obții un container crypto și să setezi o parolă pentru a proteja containerul crypto. Un cripto-container este o arhivă PFX cu un certificat și o cheie privată. Puteți obține un cripto-container în consola Kaspersky Anti Targeted Attack Platform (consultați instrucțiunile din Ajutor Kaspersky Anti Targeted Attack Platform). După configurarea setărilor Central Node, trebuie să activați și autentificarea mutuală în setările Kaspersky Endpoint Security și să încărcați un container crypto protejat prin parolă.
    Criptocontainerul trebuie să fie protejat prin parolă. Nu este posibil să adăugați un criptocontainer cu o parolă necompletată.
8. Fă clic pe OK.
9. Adăugați servere Central Node. Pentru a face acest lucru, specificați adresa serverului (IPv4, IPv6) și portul de conectare la server.
  Poți adăuga mai multe adrese de server Central Node pentru EDR (KATA). Kaspersky Endpoint Security încearcă să se conecteze la server la prima adresă IP. Dacă nu se poate stabili o conexiune, Kaspersky Endpoint Security încearcă să se conecteze la a doua adresă IP din listă și așa mai departe.
10. Dacă este necesar, configurează telemetria.
11. Salvați-vă modificările. Pentru a aplica politica pe computere, închide lacătele .
Cum conectați un computer Kaspersky Endpoint Security la Central Node utilizând Web Console
1. În fereastra principală a Web Console, selectați fila Assets (Devices) → Policies & profiles.
2. Faceți clic pe numele politicii Kaspersky Endpoint Security.
  Se deschide fereastra de proprietăți a politicii.
3. Selectați fila Application settings.
4. Accesează secțiunea Built-in Agents Configuration și selectează componenta pe care dorești să o configurezi: Endpoint Detection and Response Expert (on-premise) sau Network Detection and Response (KATA).
5. Activează comutatorul corespunzător: Endpoint Detection and Response Expert (on-premise) ENABLED sau Network Detection and Response (KATA) ENABLED.
6. Pentru a configura EDR (KATA), selectează Endpoint Detection and Response (KATA) din lista de soluții.
7. Fă clic pe Connection settings.
8. Configurați conexiunea la server:
  - Timeout (sec). Expirarea timpului maxim de răspuns al serverului Central Node. Când timpul de expirare se termină, Kaspersky Endpoint Security încearcă să se conecteze la un alt server Central Node.
  - Server certificate. Certificat TLS pentru stabilirea unei conexiuni de încredere cu serverul Central Node. Puteți obține un certificat TLS în consola Kaspersky Anti Targeted Attack Platform (consultați instrucțiunile din Ajutor Kaspersky Anti Targeted Attack Platform).
  - Use two-way authentication. Autentificare mutuală la stabilirea unei conexiuni securizate între Kaspersky Endpoint Security și serverul Central Node. Pentru a utiliza autentificarea mutuală, trebuie să activezi autentificarea mutuală în setările serverului Central Node, apoi să obții un container crypto și să setezi o parolă pentru a proteja containerul crypto. Un cripto-container este o arhivă PFX cu un certificat și o cheie privată. Puteți obține un cripto-container în consola Kaspersky Anti Targeted Attack Platform (consultați instrucțiunile din Ajutor Kaspersky Anti Targeted Attack Platform). După configurarea setărilor Central Node, trebuie să activați și autentificarea mutuală în setările Kaspersky Endpoint Security și să încărcați un container crypto protejat prin parolă.
    Criptocontainerul trebuie să fie protejat prin parolă. Nu este posibil să adăugați un criptocontainer cu o parolă necompletată.
9. Fă clic pe OK.
10. Adăugați servere Central Node. Pentru a face acest lucru, specificați adresa serverului (IPv4, IPv6) și portul de conectare la server.
  Poți adăuga mai multe adrese de server Central Node pentru EDR (KATA). Kaspersky Endpoint Security încearcă să se conecteze la server la prima adresă IP. Dacă nu se poate stabili o conexiune, Kaspersky Endpoint Security încearcă să se conecteze la a doua adresă IP din listă și așa mai departe.
11. Dacă este necesar, configurează telemetria.
12. Salvați-vă modificările. Pentru a aplica politica pe computere, închide lacătele .
Ca rezultat, computerul este adăugat în consola Kaspersky Anti Targeted Attack Platform. Verificați starea de funcționare a componentei, vizualizând Report on status of application components. De asemenea, puteți vizualiza starea de funcționare a unei componente în rapoarte, în interfața locală a Kaspersky Endpoint Security. Componenta Endpoint Detection and Response Expert (on-premise) va fi adăugată la lista componentelor Kaspersky Endpoint Security.

Începutul paginii