Интеграция EDR-агента с KATA (EDR)

EDR-агент устанавливается на рабочие станции и серверы в IT-инфраструктуре организации. На этих компьютерах EDR-агент постоянно наблюдает за процессами, открытыми сетевыми соединениями и изменяемыми файлами и отправляет данные наблюдения на сервер EDR Expert (on-premise).

Для интеграции с EDR Expert (on-premise) вам нужно включить компонент Endpoint Detection and Response Expert (on-premise) и настроить параметры EDR-агента.

Интеграция с Endpoint Detection and Response Expert (on-premise) состоит из следующих этапов:

Активация Endpoint Detection and Response Expert (on-premise)
Вам нужно приобрести отдельную лицензию на использование EDR Expert (on-premise) (Kaspersky Endpoint Detection and Response Expert (on-premise) Add-on).

Функциональность будет доступна после добавления отдельного ключа Kaspersky Endpoint Detection and Response Expert (on-premise). Лицензирование отдельной функциональности Endpoint Detection and Response Expert (on-premise) не отличается от лицензирования Kaspersky Endpoint Security.

Убедитесь, что функциональность EDR Expert (on-premise) включена в лицензию и работает в локальном интерфейсе приложения.
Подключение к серверу сбора телеметрии и серверу реагирования
Для работы Kaspersky Endpoint Detection and Response Expert (on-premise) необходимо установить доверенное соединение между Kaspersky Endpoint Security и двумя серверами:
- Сервер сбора телеметрии – сервер, входящий в состав SIEM, который предназначен для сбора, нормализации, корреляции, анализа и хранения данных о событиях на компьютере.
- Сервер реагирования – сервер, который предназначен для приема и проверки данных, исследования поведения объектов, а также публикации результатов исследования.
Для настройки доверенного соединения вам нужен TLS-сертификат. Вы можете получить TLS-сертификат в единой платформе управления OSMP (см. инструкцию в справке Kaspersky Endpoint Detection and Response Expert (on-premise)). Далее вам нужно добавить TLS-сертификат в Kaspersky Endpoint Security (см. инструкцию ниже).

По умолчанию Kaspersky Endpoint Security проверяет только TLS-сертификат серверов. Чтобы сделать соединение более безопасным, вы можете включить дополнительную проверку компьютера на сервере (двусторонняя аутентификация). Для включения такой проверки вам нужно включить двустороннюю аутентификацию в параметрах сервера и Kaspersky Endpoint Security. Также для двусторонней аутентификации вам нужен криптоконтейнер. Криптоконтейнер – PFX-архив с сертификатом и закрытым ключом. Вы можете получить криптоконтейнер в единой платформе управления OSMP (см. инструкцию в справке Kaspersky Endpoint Detection and Response Expert (on-premise)).

Как подключить компьютер с Kaspersky Endpoint Security к EDR Expert (on-premise) в Web Console
1. В главном окне Web Console выберите закладку Активы (Устройства) → Политики и профили политик.
2. Нажмите на название политики Kaspersky Endpoint Security.
  Откроется окно свойств политики.
3. Выберите закладку Параметры приложения.
4. Перейдите в раздел Встроенные агенты → Endpoint Detection and Response Expert (on-premise).
5. Включите переключатель Endpoint Detection and Response Expert (on-premise) ВКЛЮЧЕН.
6. Для настройки EDR Expert (on-premise) в списке решений выберите Endpoint Detection and Response Expert (версия 8.0 и выше).
7. Настройте подключение к серверам сбора телеметрии:
  1. В блоке Подключение к серверам сбора телеметрии перейдите по ссылке Настройки подключения.
  2. Настройте параметры подключения к серверам сбора телеметрии:
    - Время ожидания (сек.). Максимальное время ожидания ответа от сервера. По истечению времени ожидания Kaspersky Endpoint Security пытается подключиться к другому серверу.
    - Сертификат сервера. TLS-сертификат для установки доверенного соединения с сервером. Вы можете получить TLS-сертификат в единой платформе управления OSMP (см. инструкцию в справке Kaspersky Endpoint Detection and Response Expert (on-premise)).
    - Использовать двустороннюю аутентификацию. Двусторонняя аутентификация при установлении безопасного соединения между Kaspersky Endpoint Security и сервером. Для использования двусторонней аутентификации вам нужно в параметрах сервера включить функцию двусторонней аутентификации, далее получить криптоконтейнер и установить пароль для защиты криптоконтейнера. Криптоконтейнер – PFX-архив с сертификатом и закрытым ключом агента. Вы можете получить криптоконтейнер в единой платформе управления OSMP (см. инструкцию в справке Kaspersky Endpoint Detection and Response Expert (on-premise)). После настройки параметров сервера вам нужно в параметрах Kaspersky Endpoint Security также включить функцию двусторонней аутентификации и загрузить защищенный паролем криптоконтейнер.
      Криптоконтейнер должен быть защищен паролем. Добавить криптоконтейнер с пустым паролем невозможно.
  3. Нажмите на кнопку OK.
  4. Добавьте серверы сбора телеметрии. Для этого укажите адрес сервера (IPv4, IPv6), а также порт подключения к серверу.
    Вы можете добавить несколько адресов сервера сбора телеметрии. Kaspersky Endpoint Security пытается установить соединение с сервером через первый IP-адрес. Если установить соединение не удалось, Kaspersky Endpoint Security пытается установить соединение через второй IP-адрес и так далее по списку.
  5. Если требуется, настройте параметры отправки телеметрии.
8. Настройте подключение к серверам реагирования:
  1. В блоке Подключение к серверам реагирования настройте параметр Отправлять запрос на синхронизацию на сервер каждые (мин.). Период отправки запросов на синхронизацию с сервером. Во время синхронизации Kaspersky Endpoint Security получает задачи по реагированию на угрозы и отправляет результаты выполнения задач.
  2. Перейдите по ссылке Настройки подключения.
  3. Настройте параметры подключения к серверам реагирования:
    - Время ожидания (сек.). Максимальное время ожидания ответа от сервера. По истечению времени ожидания Kaspersky Endpoint Security пытается подключиться к другому серверу.
    - Сертификат сервера. TLS-сертификат для установки доверенного соединения с сервером. Вы можете получить TLS-сертификат в единой платформе управления OSMP (см. инструкцию в справке Kaspersky Endpoint Detection and Response Expert (on-premise)).
    - Использовать двустороннюю аутентификацию. Двусторонняя аутентификация при установлении безопасного соединения между Kaspersky Endpoint Security и сервером. Для использования двусторонней аутентификации вам нужно в параметрах сервера включить функцию двусторонней аутентификации, далее получить криптоконтейнер и установить пароль для защиты криптоконтейнера. Криптоконтейнер – PFX-архив с сертификатом и закрытым ключом агента. Вы можете получить криптоконтейнер в единой платформе управления OSMP (см. инструкцию в справке Kaspersky Endpoint Detection and Response Expert (on-premise)). После настройки параметров сервера вам нужно в параметрах Kaspersky Endpoint Security также включить функцию двусторонней аутентификации и загрузить защищенный паролем криптоконтейнер.
      Криптоконтейнер должен быть защищен паролем. Добавить криптоконтейнер с пустым паролем невозможно.
  4. Нажмите на кнопку OK.
  5. Добавьте серверы реагирования. Для этого укажите адрес сервера (IPv4, IPv6), а также порт подключения к серверу.
    Вы можете добавить несколько адресов сервера реагирования. Kaspersky Endpoint Security пытается установить соединение с сервером через первый IP-адрес. Если установить соединение не удалось, Kaspersky Endpoint Security пытается установить соединение через второй IP-адрес и так далее по списку.
9. Сохраните внесенные изменения. Для применения политики на компьютерах, закройте замки .
В результате компьютер будет добавлен единую платформу управления OSMP. Проверьте статус работы компонента с помощью отчета Отчет о статусе компонентов приложения. Также вы можете посмотреть статус работы компонента в локальном интерфейсе Kaspersky Endpoint Security в отчетах. В список компонентов Kaspersky Endpoint Security будет добавлен компонент Endpoint Detection and Response Expert (on-premise).

В начало