Интеграция EDR-агента с KATA (EDR)

EDR-агент устанавливается на рабочие станции и серверы в IT-инфраструктуре организации. На этих компьютерах EDR-агент постоянно наблюдает за процессами, открытыми сетевыми соединениями и изменяемыми файлами и отправляет данные наблюдения на сервер с компонентом Central Node.

Для интеграции с EDR (KATA) вам нужно включить компонент Endpoint Detection and Response (KATA) и настроить параметры EDR-агента.

Для работы Endpoint Detection and Response (KATA) должны быть выполнены следующие условия:

Kaspersky Anti Targeted Attack Platform версии 5.0 или выше.
Kaspersky Security Center версии 14.2 или выше. В более ранних версиях Kaspersky Security Center невозможно активировать функциональность Endpoint Detection and Response (KATA).

Интеграция с Endpoint Detection and Response (KATA) состоит из следующих этапов:

Активация Endpoint Detection and Response (KATA)
Вам нужно приобрести отдельную лицензию на использование EDR (KATA) (Kaspersky Endpoint Detection and Response (KATA) Add-on).

Функциональность будет доступна после добавления отдельного ключа Kaspersky Endpoint Detection and Response (KATA). Лицензирование отдельной функциональности Endpoint Detection and Response (KATA) не отличается от лицензирования Kaspersky Endpoint Security.

Убедитесь, что функциональность EDR (KATA) включена в лицензию и работает в локальном интерфейсе приложения.
Подключение к Central Node
Для работы Kaspersky Anti Targeted Attack Platform необходимо установить доверенное соединение между Kaspersky Endpoint Security и компонентом Central Node. Для настройки доверенного соединения вам нужен TLS-сертификат. Вы можете получить TLS-сертификат в консоли Kaspersky Anti Targeted Attack Platform (см. инструкцию в справке Kaspersky Anti Targeted Attack Platform). Далее вам нужно добавить TLS-сертификат в Kaspersky Endpoint Security (см. инструкцию ниже).

Добавление TLS-сертификата в Kaspersky Endpoint Security

По умолчанию Kaspersky Endpoint Security проверяет только TLS-сертификат Central Node. Чтобы сделать соединение более безопасным, вы можете включить дополнительную проверку компьютера в Central Node (двусторонняя аутентификация). Для включения такой проверки вам нужно включить двустороннюю аутентификацию в параметрах Central Node и Kaspersky Endpoint Security. Также для двусторонней аутентификации вам нужен криптоконтейнер. Криптоконтейнер – PFX-архив с сертификатом и закрытым ключом. Вы можете получить криптоконтейнер в консоли Kaspersky Anti Targeted Attack Platform (см. инструкцию в справке Kaspersky Anti Targeted Attack Platform).

Как подключить компьютер с Kaspersky Endpoint Security к Central Node в Консоли администрирования (MMC)
1. В главном окне Web Console выберите закладку Активы (Устройства) → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.
  Откроется окно свойств политики.
3. Выберите закладку Параметры приложения.
4. Перейдите в раздел Detection and Response и выберите компонент, который вы хотите настроить: Endpoint Detection and Response Expert (on-premise) или Network Detection and Response (KATA).
5. Установите соответствующий флажок: Endpoint Detection and Response Expert (on-premise) или Network Detection and Response (KATA).
6. Нажмите на кнопку Настройки подключения.
7. Настройте параметры подключения к серверам:
  - Время ожидания (сек.). Максимальное время ожидания ответа от сервера Central Node. По истечению времени ожидания Kaspersky Endpoint Security пытается подключиться к другому серверу Central Node.
  - Сертификат сервера. TLS-сертификат для установки доверенного соединения с сервером Central Node. Вы можете получить TLS-сертификат в консоли Kaspersky Anti Targeted Attack Platform (см. инструкцию в справке Kaspersky Anti Targeted Attack Platform).
  - Использовать двустороннюю аутентификацию. Двусторонняя аутентификация при установлении безопасного соединения между Kaspersky Endpoint Security и сервером Central Node. Для использования двусторонней аутентификации вам нужно в параметрах сервера Central Node включить функцию двусторонней аутентификации, далее получить криптоконтейнер и установить пароль для защиты криптоконтейнера. Криптоконтейнер – PFX-архив с сертификатом и закрытым ключом агента. Вы можете получить криптоконтейнер в консоли Kaspersky Anti Targeted Attack Platform (см. инструкцию в справке Kaspersky Anti Targeted Attack Platform). После настройки параметров Central Node вам нужно в параметрах Kaspersky Endpoint Security также включить функцию двусторонней аутентификации и загрузить защищенный паролем криптоконтейнер.
    Криптоконтейнер должен быть защищен паролем. Добавить криптоконтейнер с пустым паролем невозможно.
8. Нажмите на кнопку OK.
9. Добавьте серверы Central Node. Для этого укажите адрес сервера (IPv4, IPv6), а также порт подключения к серверу.
  Вы можете добавить несколько адресов сервера Central Node для EDR (KATA). Kaspersky Endpoint Security пытается установить соединение с сервером через первый IP-адрес. Если установить соединение не удалось, Kaspersky Endpoint Security пытается установить соединение через второй IP-адрес и так далее по списку.
10. Если требуется, настройте параметры отправки телеметрии.
11. Сохраните внесенные изменения. Для применения политики на компьютерах, закройте замки .
Как подключить компьютер с Kaspersky Endpoint Security к Central Node в Web Console
1. В главном окне Web Console выберите закладку Активы (Устройства) → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.
  Откроется окно свойств политики.
3. Выберите закладку Параметры приложения.
4. Перейдите в раздел Встроенные агенты и выберите компонент, который вы хотите настроить: Endpoint Detection and Response Expert (on-premise) или Network Detection and Response (KATA).
5. Включите соответствующий переключатель: Endpoint Detection and Response Expert (on-premise) ВКЛЮЧЕН или Network Detection and Response (KATA) ВКЛЮЧЕН.
6. Для настройки EDR (KATA) в списке решений выберите Endpoint Detection and Response (KATA).
7. Нажмите на кнопку Настройки подключения.
8. Настройте параметры подключения к серверам:
  - Время ожидания (сек.). Максимальное время ожидания ответа от сервера Central Node. По истечению времени ожидания Kaspersky Endpoint Security пытается подключиться к другому серверу Central Node.
  - Сертификат сервера. TLS-сертификат для установки доверенного соединения с сервером Central Node. Вы можете получить TLS-сертификат в консоли Kaspersky Anti Targeted Attack Platform (см. инструкцию в справке Kaspersky Anti Targeted Attack Platform).
  - Использовать двустороннюю аутентификацию. Двусторонняя аутентификация при установлении безопасного соединения между Kaspersky Endpoint Security и сервером Central Node. Для использования двусторонней аутентификации вам нужно в параметрах сервера Central Node включить функцию двусторонней аутентификации, далее получить криптоконтейнер и установить пароль для защиты криптоконтейнера. Криптоконтейнер – PFX-архив с сертификатом и закрытым ключом агента. Вы можете получить криптоконтейнер в консоли Kaspersky Anti Targeted Attack Platform (см. инструкцию в справке Kaspersky Anti Targeted Attack Platform). После настройки параметров Central Node вам нужно в параметрах Kaspersky Endpoint Security также включить функцию двусторонней аутентификации и загрузить защищенный паролем криптоконтейнер.
    Криптоконтейнер должен быть защищен паролем. Добавить криптоконтейнер с пустым паролем невозможно.
9. Нажмите на кнопку OK.
10. Добавьте серверы Central Node. Для этого укажите адрес сервера (IPv4, IPv6), а также порт подключения к серверу.
  Вы можете добавить несколько адресов сервера Central Node для EDR (KATA). Kaspersky Endpoint Security пытается установить соединение с сервером через первый IP-адрес. Если установить соединение не удалось, Kaspersky Endpoint Security пытается установить соединение через второй IP-адрес и так далее по списку.
11. Если требуется, настройте параметры отправки телеметрии.
12. Сохраните внесенные изменения. Для применения политики на компьютерах, закройте замки .
В результате компьютер будет добавлен в консоли Kaspersky Anti Targeted Attack Platform. Проверьте статус работы компонента с помощью отчета Отчет о статусе компонентов приложения. Также вы можете посмотреть статус работы компонента в локальном интерфейсе Kaspersky Endpoint Security в отчетах. В список компонентов Kaspersky Endpoint Security будет добавлен компонент Endpoint Detection and Response Expert (on-premise).

В начало