Интеграция встроенного агента с EDR Expert (on-premise)

Для интеграции с решением Kaspersky Endpoint Detection and Response Expert (on-premise) вам нужно добавить компонент Endpoint Detection and Response Expert (on-premise) и настроить параметры Kaspersky Endpoint Security.

Компоненты EDR Optimum, EDR Expert, EDR Expert (on-premise) несовместимы между собой.

Для работы Endpoint Detection and Response Expert (on-premise) должны быть выполнены следующие условия:

• Установлена единая платформа управления OSMP (Open Single Management Platform).
• Приложение активировано и функциональность входит в лицензию.
• Компонент Endpoint Detection and Response Expert (on-premise) включен.
• Компоненты приложения, которые обеспечивают работу EDR Expert (on-premise), включены и работают. Работу EDR Expert (on-premise) обеспечивают следующие компоненты:
  • Защита от файловых угроз.
  • Защита от веб-угроз.
  • Защита от почтовых угроз.
  • Защита от эксплойтов.
  • Анализ поведения.
  • Предотвращение вторжений.
  • Откат вредоносных действий.
  • Адаптивный контроль аномалий.

Интеграция с EDR Expert (on-premise) состоит из следующих этапов:

1. Установка компонента EDR Expert (on-premise)

   Вы можете выбрать компонент EDR Expert (on-premise) во время установки или обновления приложения, а также с помощью задачи Изменение состава компонентов приложения.

   Для завершения обновления приложения с новым компонентом нужно перезагрузить компьютер.

2. Активация Kaspersky Endpoint Detection and Response Expert (on-premise)

   Вам нужно приобрести отдельную лицензию на использование EDR Expert (on-premise) (Kaspersky Endpoint Detection and Response Expert (on-premise) Add-on).

   Функциональность будет доступна после добавления отдельного ключа Kaspersky Endpoint Detection and Response Expert (on-premise). В результате на компьютере будет добавлено два ключа: ключ для Kaspersky Endpoint Security и ключ для Kaspersky Endpoint Detection and Response Expert (on-premise).

   Лицензирование отдельной функциональности Endpoint Detection and Response Expert (on-premise) не отличается от лицензирования Kaspersky Endpoint Security.

   Убедитесь, что функциональность EDR Expert (on-premise) включена в лицензию и работает в локальном интерфейсе приложения.

3. Подключение к серверу сбора телеметрии и серверу реагирования

   Для работы Kaspersky Endpoint Detection and Response Expert (on-premise) необходимо установить доверенное соединение между Kaspersky Endpoint Security и двумя серверами:

   • Сервер сбора телеметрии – сервер, входящий в состав SIEM, который предназначен для сбора, нормализации, корреляции, анализа и хранения данных о событиях на компьютере.
   • Сервер реагирования – сервер, который предназначен для приема и проверки данных, исследования поведения объектов, а также публикации результатов исследования.

   Для настройки доверенного соединения вам нужен TLS-сертификат. Вы можете получить TLS-сертификат в единой платформе управления OSMP (см. инструкцию в справке Kaspersky Endpoint Detection and Response Expert (on-premise)). Далее вам нужно добавить TLS-сертификат в Kaspersky Endpoint Security (см. инструкцию ниже).

   По умолчанию Kaspersky Endpoint Security проверяет только TLS-сертификат серверов. Чтобы сделать соединение более безопасным, вы можете включить дополнительную проверку компьютера на сервере (двусторонняя аутентификация). Для включения такой проверки вам нужно включить двустороннюю аутентификацию в параметрах сервера и Kaspersky Endpoint Security. Также для двусторонней аутентификации вам нужен криптоконтейнер. Криптоконтейнер – PFX-архив с сертификатом и закрытым ключом. Вы можете получить криптоконтейнер в единой платформе управления OSMP (см. инструкцию в справке Kaspersky Endpoint Detection and Response Expert (on-premise)).

   Как подключить компьютер с Kaspersky Endpoint Security к EDR Expert (on-premise) в Web Console

   1. В главном окне Web Console выберите закладку Активы (Устройства) → Политики и профили политик.
   2. Нажмите на название политики Kaspersky Endpoint Security.

      Откроется окно свойств политики.

   3. Выберите закладку Параметры приложения.
   4. Перейдите в раздел Встроенные агенты → Endpoint Detection and Response Expert (on-premise).
   5. Включите переключатель Endpoint Detection and Response Expert (on-premise) ВКЛЮЧЕН.
   6. Для настройки EDR Expert (on-premise) в списке решений выберите Endpoint Detection and Response Expert (версия 8.0 и выше).
   7. Настройте подключение к серверам сбора телеметрии:
      1. В блоке Подключение к серверам сбора телеметрии перейдите по ссылке Настройки подключения.
      2. Настройте параметры подключения к серверам сбора телеметрии:
         • Время ожидания (сек.). Максимальное время ожидания ответа от сервера. По истечению времени ожидания Kaspersky Endpoint Security пытается подключиться к другому серверу.
         • Сертификат сервера. TLS-сертификат для установки доверенного соединения с сервером. Вы можете получить TLS-сертификат в единой платформе управления OSMP (см. инструкцию в справке Kaspersky Endpoint Detection and Response Expert (on-premise)).
         • Использовать двустороннюю аутентификацию. Двусторонняя аутентификация при установлении безопасного соединения между Kaspersky Endpoint Security и сервером. Для использования двусторонней аутентификации вам нужно в параметрах сервера включить функцию двусторонней аутентификации, далее получить криптоконтейнер и установить пароль для защиты криптоконтейнера. Криптоконтейнер – PFX-архив с сертификатом и закрытым ключом агента. Вы можете получить криптоконтейнер в единой платформе управления OSMP (см. инструкцию в справке Kaspersky Endpoint Detection and Response Expert (on-premise)). После настройки параметров сервера вам нужно в параметрах Kaspersky Endpoint Security также включить функцию двусторонней аутентификации и загрузить защищенный паролем криптоконтейнер.

           Криптоконтейнер должен быть защищен паролем. Добавить криптоконтейнер с пустым паролем невозможно.

      3. Нажмите на кнопку OK.
      4. Добавьте серверы сбора телеметрии. Для этого укажите адрес сервера (IPv4, IPv6), а также порт подключения к серверу.

         Вы можете добавить несколько адресов сервера сбора телеметрии. Kaspersky Endpoint Security пытается установить соединение с сервером через первый IP-адрес. Если установить соединение не удалось, Kaspersky Endpoint Security пытается установить соединение через второй IP-адрес и так далее по списку.

      5. Если требуется, настройте параметры отправки телеметрии.
   8. Настройте подключение к серверам реагирования:
      1. В блоке Подключение к серверам реагирования настройте параметр Отправлять запрос на синхронизацию на сервер каждые (мин.). Период отправки запросов на синхронизацию с сервером. Во время синхронизации Kaspersky Endpoint Security получает задачи по реагированию на угрозы и отправляет результаты выполнения задач.
      2. Перейдите по ссылке Настройки подключения.
      3. Настройте параметры подключения к серверам реагирования:
         • Время ожидания (сек.). Максимальное время ожидания ответа от сервера. По истечению времени ожидания Kaspersky Endpoint Security пытается подключиться к другому серверу.
         • Сертификат сервера. TLS-сертификат для установки доверенного соединения с сервером. Вы можете получить TLS-сертификат в единой платформе управления OSMP (см. инструкцию в справке Kaspersky Endpoint Detection and Response Expert (on-premise)).
         • Использовать двустороннюю аутентификацию. Двусторонняя аутентификация при установлении безопасного соединения между Kaspersky Endpoint Security и сервером. Для использования двусторонней аутентификации вам нужно в параметрах сервера включить функцию двусторонней аутентификации, далее получить криптоконтейнер и установить пароль для защиты криптоконтейнера. Криптоконтейнер – PFX-архив с сертификатом и закрытым ключом агента. Вы можете получить криптоконтейнер в единой платформе управления OSMP (см. инструкцию в справке Kaspersky Endpoint Detection and Response Expert (on-premise)). После настройки параметров сервера вам нужно в параметрах Kaspersky Endpoint Security также включить функцию двусторонней аутентификации и загрузить защищенный паролем криптоконтейнер.

           Криптоконтейнер должен быть защищен паролем. Добавить криптоконтейнер с пустым паролем невозможно.

      4. Нажмите на кнопку OK.
      5. Добавьте серверы реагирования. Для этого укажите адрес сервера (IPv4, IPv6), а также порт подключения к серверу.

         Вы можете добавить несколько адресов сервера реагирования. Kaspersky Endpoint Security пытается установить соединение с сервером через первый IP-адрес. Если установить соединение не удалось, Kaspersky Endpoint Security пытается установить соединение через второй IP-адрес и так далее по списку.

   9. Сохраните внесенные изменения. Для применения политики на компьютерах, закройте замки .

   В результате компьютер будет добавлен единой платформе управления OSMP. Проверьте статус работы компонента с помощью отчета Отчет о статусе компонентов приложения. Также вы можете посмотреть статус работы компонента в локальном интерфейсе Kaspersky Endpoint Security в отчетах. В список компонентов Kaspersky Endpoint Security будет добавлен компонент Endpoint Detection and Response Expert (on-premise).

В начало